VULHUB ™

### 简要描述： 骑士人才系统 7处越权+1处sql ### 详细说明： wap_user.php: 一下越权都是没有uid的参与，导致任意修改数据库任何记录 第一处: ``` elseif($act == "resume_work_del") { //越权 $smarty->cache = false; $id=intval($_GET['work_id']); $sql="delete from ".table("resume_work")." where id=$id"; if($db->query($sql)){ exit("ok"); // WapShowMsg("删除工作经验成功",1); }else{ exit("err"); // WapShowMsg("删除工作经验失败",0); } } ``` 第二处: ``` // 删除教育经历 elseif($act == "resume_education_del") { $smarty->cache = false; $id=intval($_GET['education_id']); //越权 $sql="delete from ".table("resume_education")." where id=$id"; if($db->query($sql)){ exit("ok"); // WapShowMsg("删除教育经历成功",1); }else{ exit("err"); // WapShowMsg("删除教育经历失败",0); } } ``` 第三处: ``` elseif($act == "resume_train_del") { $smarty->cache = false; //越权 $id=intval($_GET['train_id']); $sql="delete from ".table("resume_training")." where id=$id"; if($db->query($sql)){ exit("ok"); // WapShowMsg("删除培训经历成功",1); }else{ exit("err"); // WapShowMsg("删除培训经历失败",0); } } ``` 第四处: ``` elseif($act ==...

### 简要描述： 骑士人才系统 7处越权+1处sql ### 详细说明： wap_user.php: 一下越权都是没有uid的参与，导致任意修改数据库任何记录 第一处: ``` elseif($act == "resume_work_del") { //越权 $smarty->cache = false; $id=intval($_GET['work_id']); $sql="delete from ".table("resume_work")." where id=$id"; if($db->query($sql)){ exit("ok"); // WapShowMsg("删除工作经验成功",1); }else{ exit("err"); // WapShowMsg("删除工作经验失败",0); } } ``` 第二处: ``` // 删除教育经历 elseif($act == "resume_education_del") { $smarty->cache = false; $id=intval($_GET['education_id']); //越权 $sql="delete from ".table("resume_education")." where id=$id"; if($db->query($sql)){ exit("ok"); // WapShowMsg("删除教育经历成功",1); }else{ exit("err"); // WapShowMsg("删除教育经历失败",0); } } ``` 第三处: ``` elseif($act == "resume_train_del") { $smarty->cache = false; //越权 $id=intval($_GET['train_id']); $sql="delete from ".table("resume_training")." where id=$id"; if($db->query($sql)){ exit("ok"); // WapShowMsg("删除培训经历成功",1); }else{ exit("err"); // WapShowMsg("删除培训经历失败",0); } } ``` 第四处: ``` elseif($act == "resume_evaluation_save") { $_POST=array_map("utf8_to_gbk",$_POST); $smarty->cache = false; $id=$_POST['pid']; //越权 $specialty=$_POST['specialty']?$_POST['specialty']:exit("请填写自我评价"); $sql="update ".table("resume")." set specialty='$specialty' where id=$id"; if($db->query($sql)){ exit("ok"); }else{ exit("err"); } } ``` 这一出 存在sql简单注入$sql="update ".table("resume")." set specialty='$specialty' where id=$id"; 第五处: ``` // 删除屏蔽企业 elseif($act == "shield_company_del") { $smarty->cache = false; $id=$_GET["id"]; //越权 $sql="delete from ".table("personal_shield_company")." where id=$id"; $db->query($sql)?exit("ok"):exit("err"); } ``` 第六处: ``` // 升级高级简历 elseif($act == "resume_talent") { $smarty->cache = false; $id=$_GET["pid"]; $setsqlarr["talent"]=3; //越权 updatetable(table("resume"),$setsqlarr,array("id"=>$id))?exit("ok"):exit("err"); } ``` 第七处: ``` elseif($act == 'resume_name_save') { $smarty->cache = false; $_POST=array_map("utf8_to_gbk", $_POST); $title=trim($_POST['title'])?trim($_POST['title']):exit("请输入简历名称"); //越权+sql $sql="update ".table("resume")." set title='$title' where id=$_POST[resume_id]"; if($db->query($sql)){ exit("ok"); }else{ exit("err"); } } ``` 存在简单sql注入$sql="update ".table("resume")." set title='$title' where id=$_POST[resume_id]"; ### 漏洞证明： w