骑士人才系统 7处越权+2处sql

2014-10-21T00:00:00
ID SSV:94138
Type seebug
Reporter Root
Modified 2014-10-21T00:00:00

Description

简要描述:

骑士人才系统 7处越权+1处sql

详细说明:

wap_user.php: 一下越权都是没有uid的参与,导致任意修改数据库任何记录 第一处:

elseif($act == "resume_work_del") { //越权 $smarty->cache = false; $id=intval($_GET['work_id']); $sql="delete from ".table("resume_work")." where id=$id"; if($db->query($sql)){ exit("ok"); // WapShowMsg("删除工作经验成功",1); }else{ exit("err"); // WapShowMsg("删除工作经验失败",0); } }

第二处:

// 删除教育经历 elseif($act == "resume_education_del") { $smarty->cache = false; $id=intval($_GET['education_id']); //越权 $sql="delete from ".table("resume_education")." where id=$id"; if($db->query($sql)){ exit("ok"); // WapShowMsg("删除教育经历成功",1); }else{ exit("err"); // WapShowMsg("删除教育经历失败",0); } }

第三处:

elseif($act == "resume_train_del") { $smarty->cache = false; //越权 $id=intval($_GET['train_id']); $sql="delete from ".table("resume_training")." where id=$id"; if($db->query($sql)){ exit("ok"); // WapShowMsg("删除培训经历成功",1); }else{ exit("err"); // WapShowMsg("删除培训经历失败",0); } }

第四处:

elseif($act == "resume_evaluation_save") { $_POST=array_map("utf8_to_gbk",$_POST); $smarty->cache = false; $id=$_POST['pid']; //越权 $specialty=$_POST['specialty']?$_POST['specialty']:exit("请填写自我评价"); $sql="update ".table("resume")." set specialty='$specialty' where id=$id"; if($db->query($sql)){ exit("ok"); }else{ exit("err"); } }

这一出 存在sql简单注入$sql="update ".table("resume")." set specialty='$specialty' where id=$id"; 第五处:

// 删除屏蔽企业 elseif($act == "shield_company_del") { $smarty->cache = false; $id=$_GET["id"]; //越权 $sql="delete from ".table("personal_shield_company")." where id=$id"; $db->query($sql)?exit("ok"):exit("err"); }

第六处:

// 升级高级简历 elseif($act == "resume_talent") { $smarty->cache = false; $id=$_GET["pid"]; $setsqlarr["talent"]=3; //越权 updatetable(table("resume"),$setsqlarr,array("id"=>$id))?exit("ok"):exit("err"); }

第七处:

``` elseif($act == 'resume_name_save') { $smarty->cache = false; $_POST=array_map("utf8_to_gbk", $_POST); $title=trim($_POST['title'])?trim($_POST['title']):exit("请输入简历名称"); //越权+sql $sql="update ".table("resume")." set title='$title' where id=$_POST[resume_id]"; if($db->query($sql)){ exit("ok"); }else{ exit("err"); }

} ```

存在简单sql注入$sql="update ".table("resume")." set title='$title' where id=$_POST[resume_id]";

漏洞证明:

w