TinyShop Sql Injection 1（无视GPC）

2014-07-2200:00:00

Root

www.seebug.org

JSON

简要描述：

TinyShop Sql Injection 1（无视GPC）

详细说明：

后台登陆界面存在检查功能，不安全取值导致的SQL注入。

/controller/controller_class.php
    public  function check()
    {
        
        $this-&gt;safebox = Safebox::getInstance();
        $this-&gt;title='后台登录';
        
        
        $code = $this-&gt;safebox-&gt;get($this-&gt;captchaKey);
        if($code != strtolower(Req::args($this-&gt;captchaKey)))
        {
            $this-&gt;msg='验证码错误！';
            $this-&gt;layout = "";
            $this-&gt;redirect('login',false);
        }
        else
        {
            $manager = new Manager(Req::args('name'),Req::args('password'));
            $this-&gt;msg='验证码错误！';
            if($manager-&gt;getStatus() == 'online')
            {
                $back = Req::args('callback');
                $model = new Model("manager");
                $model-&gt;data(array('last_ip'=&gt;Chips::getIP(),'last_login'=&gt;date("Y-m-d H:i:s")))-&gt;where("id=".$manager-&gt;id)-&gt;update();
//这里有一个getIP函数，跟入。
                if($back === null) $back = $this-&gt;defaultAction;
                $this-&gt;redirect($back,true);
            }
            else
            {
                $this-&gt;msg='用户名或者密码错误';
                $this-&gt;layout = "";
                $this-&gt;redirect('login',false);
            }
        }
}

getip函数跟进。
/framework/lib/util/chips_class.php
public static function getIP()
{
if (isset($_SERVER[“HTTP_X_FORWARDED_FOR”]))$ip = $_SERVER[“HTTP_X_FORWARDED_FOR”];
elseif (isset($_SERVER[“HTTP_CLIENT_IP”])) $ip = $_SERVER[“HTTP_CLIENT_IP”];
elseif (isset($_SERVER[“REMOTE_ADDR”])) $ip = $_SERVER[“REMOTE_ADDR”];
elseif (getenv(“HTTP_X_FORWARDED_FOR”)) $ip = getenv(“HTTP_X_FORWARDED_FOR”);
elseif (getenv(“HTTP_CLIENT_IP”)) $ip = getenv(“HTTP_CLIENT_IP”);
elseif (getenv(“REMOTE_ADDR”)) $ip = getenv(“REMOTE_ADDR”);
else $ip = “Unknown”;
return $ip;
}
直接获取了$_SERVER[“HTTP_X_FORWARDED_FOR”]，gpc也没用了。导致了注入。我输出语句演示。

漏洞证明：

JSON