Easytalk V2.5 SQL注入一枚

基本字段

漏洞编号：: SSV-96007

披露/发现时间：: 2014-02-23

提交时间：: 2014-02-23

漏洞等级：

漏洞类别：: 其他类型

影响组件：: EasyTalk

漏洞作者：: ′雨。

提交者：: Knownsec

CVE-ID：: 补充

CNNVD-ID：: 补充

CNVD-ID：: 补充

ZoomEye Dork：: 补充

来源

http://wooyun.org/bugs/wooyun-2014-051788

漏洞详情

贡献者 Knownsec 共获得 0KB

### 简要描述：看官网上更新到了2.5。。漏洞是少了不少。。不好找了。。。找了很久都没找到什么。。全局GET POST 转义。 ### 详细说明： Indexaction中 ``` public function checkreset() { parent::tologin(); $uModel=D('Users'); $urldata=$_REQUEST['urldata']; parse_str(base64_decode($urldata)); $user_id=intval($user_id); $user_name=str_replace(array("'",'"'," "),"",$user_name); $mailadres=str_replace(array("'",'"'," "),"",$mailadres); $code=str_replace(array("'",'"'," "),"",$checkcode); if (time()-$dateline>3600*5 && $user_id && $user_name && $mailadres && $code) { setcookie('setok', json_encode(array('lang'=>L('reset3'),'ico'=>2)),0,'/');//该地址已经过期，请重新“找回密码” header('location:'.SITE_URL.'/?m=index&a=reset'); exit; } else { $user=$uModel->getUser("user_id='$user_id' AND user_name='$user_name' AND mailadres='$mailadres' AND resetcode='$code'"); if (!$user['user_id']) { setcookie('setok', json_encode(array('lang'=>L('reset4'),'ico'=>2)),0,'/');//地址验证失败，请重新“找回密码” header('location:'.SITE_URL.'/?m=index&a=reset'); exit; } } ``` parse_str 可以覆盖掉其他变量。但是user_id被intval mailadres username code 的单引号双引号都会被替换成空。 $user=$uModel->getUser("user_id='$user_id' AND user_name='$user_name' AND mailadres='$mailadres' AND resetcode='$code'"); 看看语句也都是被加了单引号的。但是在这里他并没有过滤转义符。而且后面有3个可控的。所以可以来利用了。因为user_id 被intval 所以无法利用。从user_name开始利用首先转义user_name后面的单引号然后user_name 前面的单引号和mailadres前面的单引号闭合。然后再注释掉后面的就可以来注入了。而且虽然全局 GET POST 转义但是他这里解码所以无视转义的。首先是不能进这个的要不就不能注入了 if (time()-$dateline>3600*5 && $user_id && $user_name && $mailadres && $code) { 那就让code为false把。而且空格还被过滤了。。用/**/ 即可。 ### 漏洞证明： [<img src="https://images.seebug.org/upload/201402/23122321be37d22b1a17a55ce96daa718ada757f.jpg" alt="10.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/23122321be37d22b1a17a55ce96daa718ada757f.jpg) [<img src="https://images.seebug.org/upload/201402/2312240000336113e836d0f56290901724c5e7a8.jpg" alt="11.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/2312240000336113e836d0f56290901724c5e7a8.jpg) 注入成功有图有真相。

共 0 兑换了

PoC

暂无 PoC

参考链接

http://wooyun.org/bugs/wooyun-2014-051788

解决方案

临时解决方案

暂无临时解决方案

官方解决方案

暂无官方解决方案

防护方案

暂无防护方案

※本站提供的任何内容、代码与服务仅供学习，请勿用于非法用途，否则后果自负

基本字段

来源

漏洞详情

PoC

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机现在绑定

暂无评论

Easytalk V2.5 SQL注入一枚

基本字段

来源

漏洞详情

PoC

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机 现在绑定

暂无评论

您好，

您好，

评论前需绑定手机现在绑定