当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(17) 关注此漏洞

缺陷编号: WooYun-2014-79091

漏洞标题: Supesite 前台二次注入一枚

相关厂商: Discuz!

漏洞作者: ′雨。认证白帽子

提交时间: 2014-10-12 18:16

公开时间: 2015-01-10 18:18

漏洞类型: SQL注射漏洞

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

0人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-10-12: 细节已通知厂商并且等待厂商处理中
2014-10-13: 厂商已经确认,细节仅向厂商公开
2014-10-16: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2014-12-07: 细节向核心白帽子及相关领域专家公开
2014-12-17: 细节向普通白帽子公开
2014-12-27: 细节向实习白帽子公开
2015-01-10: 细节向公众公开

简要描述:

二次猪肉。

详细说明:

在cp.php中



code 区域
$ac = empty($_GET['ac']) ? 'profile' : trim($_GET['ac']);





if(in_array($ac, array('index', 'news', 'profile', 'credit', 'models'))) {


	include_once(S_ROOT.'./source/cp_'.$ac.'.php');



包含文件进来



在source/cp_news.php中



code 区域
$newsarr = array('subject' => $_POST['subject'],


					 'catid' => $_POST['catid'],


					 'type' => $_POST['type'],


					 'lastpost' => $_SGLOBAL['timestamp']);


	$itemarr = array('message' => $_POST['message'],


					'relativetags' => addslashes(serialize($tagnamearr)),			//相关TAG


					 'newsfrom' => $_POST['newsfrom'],


					 'newsauthor' => $_POST['newsauthor'],


					 'newsfromurl' => $_POST['newsfromurl'],


					 'postip' => $_SGLOBAL['onlineip'],


					 'includetags' => postgetincludetags($_POST['message'], $tagnamearr)


					);





这里对投稿时的处理。



code 区域
$itemarr['itemid'] = inserttable('spaceitems', $newsarr, 1); //这里  


			inserttable('spacenews', $itemarr);


			getreward('postinfo');


			postspacetag('add', $_POST['type'], $itemarr['itemid'], $tagarr,1);


			$do = 'pass';


		} else {


			$itemarr['itemid'] = inserttable('postitems', $newsarr, 1);





全局对_POST转义了 然后转义入库 转义符就没了。



找找出库的地方。



在viewcomment.php中



code 区域
if($channels['menus'][$type]['type'] == 'model') {


	include_once(S_ROOT.'./function/model.func.php');


	$cacheinfo = getmodelinfoall('modelname', $type);


	if(empty($cacheinfo['models'])) {


		showmessage('visit_the_channel_does_not_exist', S_URL);


	}


	$modelsinfoarr = $cacheinfo['models'];


	$categories = $cacheinfo['categories'];


	$query = $_SGLOBAL['db']->query('SELECT i.*, ii.* FROM '.tname($type.'items').' i, '.tname($type.'message').' ii WHERE i.itemid = ii.itemid AND i.itemid=\''.$itemid.'\' AND i.allowreply=\'1\'');


	$ismodle = '1';


} else {


	$query = $_SGLOBAL['db']->query('SELECT i.*, ii.* FROM '.tname('spaceitems').' i, '.tname('spacenews').' ii WHERE i.itemid = ii.itemid AND i.itemid=\''.$itemid.'\' AND i.allowreply=\'1\'');//这里查询出来


	$ismodle = '0';


}





if(!$item = $_SGLOBAL['db']->fetch_array($query)) showmessage('not_found', S_URL)//出库;





$channel = $type = empty($item['type']) ? $type : $item['type'];



赋值的是查询出来的 就能引入单引号了。



code 区域
$sql = "SELECT COUNT(*) FROM ".tname('spacecomments')." WHERE itemid='$itemid' AND status='1' AND `type`='$type' $wherestr ";


$listcount = $_SGLOBAL['db']->result($_SGLOBAL['db']->query($sql), 0);


$iarr = array();





再把出库的带入到了查询当中



造成了注入。



在viewnews.php中 也有出库的



code 区域
if(!empty($_SCONFIG['viewspace_pernum']) && $listcount) {


	$repeatids = array();


	$j = 1;


	$sql = "SELECT c.* FROM ".tname('spacecomments')." c WHERE c.itemid='$news[itemid]' AND c.type='$news[type]' AND status='1' ORDER BY c.dateline ".($_SCONFIG['commorderby']?'DESC':'ASC')." LIMIT 0, $_SCONFIG[viewspace_pernum]";


	$query = $_SGLOBAL['db']->query($sql);









注册一个会员 然后发帖



入库

s18.jpg





s19.jpg





viewnews.php的一样 就不说了。



漏洞证明:

s19.jpg

修复方案:

出库了再转义下。

版权声明:转载请注明来源 ′雨。@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-10-13 09:46

厂商回复:

supesite已经停止维护,感谢您关注我们的产品。

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2014-10-12 18:26 | ′ 雨。 认证白帽子 ( 普通白帽子 | Rank:1332 漏洞数:198 | Only Code Never Lie To Me.)
    2

    图破得?

    1# 回复此人
  2. 2014-10-12 18:48 | 小飞 ( 实习白帽子 | Rank:52 漏洞数:12 | 挖洞对于16岁的我来说实在是太艰难了!)
    0

    我说我下午围观了雨挖到这个洞你们怎么看~

    2# 回复此人
  3. 2014-10-12 21:14 | ki11y0u ( 普通白帽子 | Rank:140 漏洞数:28 | 好好学习,求带飞 ~~~~~~~~~~~~~~~~~~~~~~...)
    0

    3# 回复此人
  4. 2014-10-12 21:19 | ki11y0u ( 普通白帽子 | Rank:140 漏洞数:28 | 好好学习,求带飞 ~~~~~~~~~~~~~~~~~~~~~~...)
    0

    @′ 雨。 雨牛,提现多少了?

    4# 回复此人
  5. 2014-10-12 21:22 | 贫道来自河北 ( 普通白帽子 | Rank:1469 漏洞数:439 | 一个立志要把乌云集市变成零食店的男人)
    0

    @ki11y0u 我不会告诉你 ,雨牛,在360库带一个月就拿了20000

    5# 回复此人
  6. 2014-10-12 21:26 | ki11y0u ( 普通白帽子 | Rank:140 漏洞数:28 | 好好学习,求带飞 ~~~~~~~~~~~~~~~~~~~~~~...)
    0

    @贫道来自河北 我擦类,我要去蓝翔学挖掘机。

    6# 回复此人
  7. 2014-10-12 21:30 | 贫道来自河北 ( 普通白帽子 | Rank:1469 漏洞数:439 | 一个立志要把乌云集市变成零食店的男人)
    0

    @ki11y0u 推荐你学完挖掘机再去北大青鸟学计算机,最后,到新东方找王老师学烹饪,他会教你如何用电脑控制的挖掘机去炒菜的

    7# 回复此人
  8. 2014-10-12 21:45 | 孤独雪狼 认证白帽子 ( 普通白帽子 | Rank:758 漏洞数:158 | 七夕手机被偷,这坑爹的七夕啊 。。。。)
    0

    @′ 雨。 审计牛 求合作呀

    8# 回复此人
  9. 2014-10-12 22:12 | 老和尚 ( 普通白帽子 | Rank:223 漏洞数:45 )
    0

    你不可以这么叼。真的不可以、起码你得带上我啊...

    9# 回复此人
  10. 2014-10-13 08:11 | 残废 ( 普通白帽子 | Rank:274 漏洞数:58 | 我是残废,啦啦啦啦)
    0

    雨牛闷声发大财

    10# 回复此人
  11. 2014-10-13 09:36 | wefgod ( 核心白帽子 | Rank:1829 漏洞数:183 | 力不从心)
    0

    这个好像很老的系统了啊

    11# 回复此人
  12. 2014-10-13 17:19 | menmen519 ( 普通白帽子 | Rank:914 漏洞数:161 | http://menmen519.blog.sohu.com/)
    0

    @′ 雨 你可真快啊 我本来审完dz 下来就要看这个 突然看见你发了三个注入 厉害!!!!

    12# 回复此人
  13. 2014-10-15 08:01 | ′ 雨。 认证白帽子 ( 普通白帽子 | Rank:1332 漏洞数:198 | Only Code Never Lie To Me.)
    0

    @menmen519 啊哈 放了半天的假 就看了看

    13# 回复此人
  14. 2015-01-10 21:18 | 相关部们 ( 路人 | Rank:8 漏洞数:3 | 简要介绍够简要吧。)
    1

    @′ 雨。 因雨哥省略了太多字,无奈前来求细节 请雨哥私信 谢谢

    14# 回复此人
  15. 2015-08-21 17:29 | BeenQuiver ( 普通白帽子 | Rank:103 漏洞数:27 | 专注而高效,坚持好的习惯千万不要放弃)
    0

    mark

    15# 回复此人

登录后才能发表评论,请先 登录