当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(9) 关注此漏洞

缺陷编号: WooYun-2014-53189

漏洞标题: qibocms分类注入一枚可提升自己为管理

相关厂商: 齐博CMS

漏洞作者: ′雨。认证白帽子

提交时间: 2014-03-09 14:09

公开时间: 2014-06-07 14:09

漏洞类型: SQL注射漏洞

危害等级: 中

自评Rank: 20

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-03-09: 细节已通知厂商并且等待厂商处理中
2014-03-17: 厂商已经确认,细节仅向厂商公开
2014-03-20: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2014-05-11: 细节向核心白帽子及相关领域专家公开
2014-05-21: 细节向普通白帽子公开
2014-05-31: 细节向实习白帽子公开
2014-06-07: 细节向公众公开

简要描述:

过滤不严。
可修改管理的密码。
或者直接提升自己为管理。

求不忽略可好?

详细说明:

qibocms 分类系统。

在member/company.php中

code 区域
$cpDB=$db->get_one("SELECT * FROM `{$pre}memberdata_1` WHERE uid='$lfjuid'");


	if($step==2){


		foreach( $_POST AS $key=>$value){


			$_POST[$key]=filtrate($value);


		}


		@extract($_POST);


		if(!$cpname){showerr("企业名称不能为空");}


		if(!$cptype){showerr("请选择企业性质");}


		if(!$cptrade){showerr("请选择企业所属行业");}


		if(!$cpfounder){showerr("企业法人不能为空");}


		if(!$cptelephone){showerr("公司电话不能为空");}


		if(!$cpaddress){showerr("公司地址不能为空");}


		if(!$cpcity){showerr("请选择企业所在城市");}


		if(!$cpcode){showerr("组织机构代码不能为空");}


		if(!ereg("^[0-9]{8}",$cpcode)){


			showerr("请认真填写组织机构代码");	//如果不想严格控制机构码,请把这一行删除


		}


		if(!$cpDB){


			$db->query("INSERT INTO `{$pre}memberdata_1` ( `uid` , `cpname` , `cplogo` , `cptype` , `cptrade` , `cpproduct` , `cpcity` , `cpfoundtime` , `cpfounder` , `cpmannum` , `cpmoney` , `cpcode` , `cppermit` , `cpweb` , `cppostcode` , `cptelephone` , `cpfax` , `cpaddress` ,`cplinkman`,`cpmobphone`,`cpqq`,`cpmsn`) VALUES ( '$lfjuid','$cpname','$cplogo','$cptype','$cptrade','$cpproduct','$cpcity','$cpfoundtime','$cpfounder','$cpmannum','$cpmoney','$cpcode','$cppermit','$cpweb','$cppostcode','$cptelephone','$cpfax','$cpaddress','$cplinkman','$cpmobphone','$cpqq','$cpmsn')");


			$grouptype=$webdb[AutoPassCompany]?'1':'-1';


			$db->query("UPDATE {$pre}memberdata SET grouptype='$grouptype' WHERE uid='$lfjuid'");


			refreshto("company.php?job=edit","你的资料已经提交",1);	


		}else{


			$db->query("UPDATE {$pre}memberdata_1 SET cpname='$cpname',cplogo='$cplogo',cptype='$cptype',cptrade='$cptrade',cpproduct='$cpproduct',cpcity='$cpcity',cpfoundtime='$cpfoundtime',cpfounder='$cpfounder',cpmannum='$cpmannum',cpmoney='$cpmoney',cpcode='$cpcode',cppermit='$cppermit',cpweb='$cpweb',cppostcode='$cppostcode',cptelephone='$cptelephone',cpfax='$cpfax',cpaddress='$cpaddress',cplinkman='$cplinkman',cpmobphone='$cpmobphone',cpqq='$cpqq',cpmsn='$cpmsn' WHERE uid='$lfjuid'");


			refreshto("company.php?job=edit","修改成功",1);


		}			


	}





这里有一枚很明显的变量覆盖 extract

就来覆盖掉表前缀 然后自己补全语句。

可以看到后面还有一个update的。

所以可以直接提升自己为管理。

漏洞证明:

fenlei1.jpg



可以看到 成功覆盖了 表前缀。

然后补全语句。

fenlei2.jpg



fenlei3.jpg



提升成功。

修复方案:

求不忽略。



求过滤。



求保养。



求20.

版权声明:转载请注明来源 ′雨。@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-03-17 13:19

厂商回复:

感谢提出来!

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(少于3人评价):
登陆后才能进行评分
100%
0%
0%
0%
0%

评价

  1. 2015-10-12 14:24 | ca1n ( 普通白帽子 | Rank:100 漏洞数:22 | not yet)
    0

    ; )

    1# 回复此人

登录后才能发表评论,请先 登录