### 简要描述: 上个漏洞出事的是一个通用函数,所以造成了多个注入。 然后这次厂商直接应该是直接修改了这函数的代码(我没看啊.猜测)。 这次没看代码, 直接fuzz 绕过。 应该来说 只要仔细找 肯定是不止这两处的, 我只大概看了看 找到了这两处。 ### 详细说明: 这次没看代码啊, 就没分析代码的了。 [WooYun: CSDJCMS 程式舞曲 最新 Sql 一枚。 (无需登录,测试官网成功)](http://www.wooyun.org/bugs/wooyun-2014-060122) 上个漏洞的地址 http://demo.chshcms.com/index.php/open/bang openid=x&username='&denglu=login&userpass=aaa 这样再去测试一下厂商 发现已经不报错了。 应该是过滤了单引号, 测试一下转义符 Error Number: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\' or cs_email='\'' at line 1 SELECT CS_Pass,CS_SID,CS_ID,CS_Name,CS_LogNum,CS_Cion,CS_LogTime FROM cscms_user where cs_id='\' or cs_name='\' or cs_email='\' 这里有3个可控的, 但是这三个可控的都是一个变量的。 构造构造。 _ 第二处 在user/login/add处。 见漏洞证明。 ### 漏洞证明: [<img src="https://images.seebug.org/upload/201405/10173815dc89342c3618db5898b93efaf4bf5ced.jpg" alt="7IEFYVWP4YLB)9@P$VS6A)4.jpg" width="600"...
### 简要描述: 上个漏洞出事的是一个通用函数,所以造成了多个注入。 然后这次厂商直接应该是直接修改了这函数的代码(我没看啊.猜测)。 这次没看代码, 直接fuzz 绕过。 应该来说 只要仔细找 肯定是不止这两处的, 我只大概看了看 找到了这两处。 ### 详细说明: 这次没看代码啊, 就没分析代码的了。 [WooYun: CSDJCMS 程式舞曲 最新 Sql 一枚。 (无需登录,测试官网成功)](http://www.wooyun.org/bugs/wooyun-2014-060122) 上个漏洞的地址 http://demo.chshcms.com/index.php/open/bang openid=x&username='&denglu=login&userpass=aaa 这样再去测试一下厂商 发现已经不报错了。 应该是过滤了单引号, 测试一下转义符 Error Number: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\' or cs_email='\'' at line 1 SELECT CS_Pass,CS_SID,CS_ID,CS_Name,CS_LogNum,CS_Cion,CS_LogTime FROM cscms_user where cs_id='\' or cs_name='\' or cs_email='\' 这里有3个可控的, 但是这三个可控的都是一个变量的。 构造构造。 _ 第二处 在user/login/add处。 见漏洞证明。 ### 漏洞证明: [<img src="https://images.seebug.org/upload/201405/10173815dc89342c3618db5898b93efaf4bf5ced.jpg" alt="7IEFYVWP4YLB)9@P$VS6A)4.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/10173815dc89342c3618db5898b93efaf4bf5ced.jpg) 再次成功绕过。 第二处漏洞。 [<img src="https://images.seebug.org/upload/201405/1017405561d0b1477f222f38c1fcadd451e2e371.jpg" alt="cs5.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/1017405561d0b1477f222f38c1fcadd451e2e371.jpg)
