VULHUB ™

### 简要描述： 过滤不严。 可修改管理的密码。 或者直接提升自己为管理。 求不忽略可好? ### 详细说明： qibocms 分类系统。 在member/company.php中 ``` $cpDB=$db->get_one("SELECT * FROM `{$pre}memberdata_1` WHERE uid='$lfjuid'"); if($step==2){ foreach( $_POST AS $key=>$value){ $_POST[$key]=filtrate($value); } @extract($_POST); if(!$cpname){showerr("企业名称不能为空");} if(!$cptype){showerr("请选择企业性质");} if(!$cptrade){showerr("请选择企业所属行业");} if(!$cpfounder){showerr("企业法人不能为空");} if(!$cptelephone){showerr("公司电话不能为空");} if(!$cpaddress){showerr("公司地址不能为空");} if(!$cpcity){showerr("请选择企业所在城市");} if(!$cpcode){showerr("组织机构代码不能为空");} if(!ereg("^[0-9]{8}",$cpcode)){ showerr("请认真填写组织机构代码");//如果不想严格控制机构码,请把这一行删除 } if(!$cpDB){ $db->query("INSERT INTO `{$pre}memberdata_1` ( `uid` , `cpname` , `cplogo` , `cptype` , `cptrade` , `cpproduct` , `cpcity` , `cpfoundtime` , `cpfounder` , `cpmannum` , `cpmoney` , `cpcode` , `cppermit` , `cpweb` , `cppostcode` , `cptelephone` , `cpfax` , `cpaddress` ,`cplinkman`,`cpmobphone`,`cpqq`,`cpmsn`) VALUES (...

### 简要描述： 过滤不严。 可修改管理的密码。 或者直接提升自己为管理。 求不忽略可好? ### 详细说明： qibocms 分类系统。 在member/company.php中 ``` $cpDB=$db->get_one("SELECT * FROM `{$pre}memberdata_1` WHERE uid='$lfjuid'"); if($step==2){ foreach( $_POST AS $key=>$value){ $_POST[$key]=filtrate($value); } @extract($_POST); if(!$cpname){showerr("企业名称不能为空");} if(!$cptype){showerr("请选择企业性质");} if(!$cptrade){showerr("请选择企业所属行业");} if(!$cpfounder){showerr("企业法人不能为空");} if(!$cptelephone){showerr("公司电话不能为空");} if(!$cpaddress){showerr("公司地址不能为空");} if(!$cpcity){showerr("请选择企业所在城市");} if(!$cpcode){showerr("组织机构代码不能为空");} if(!ereg("^[0-9]{8}",$cpcode)){ showerr("请认真填写组织机构代码");//如果不想严格控制机构码,请把这一行删除 } if(!$cpDB){ $db->query("INSERT INTO `{$pre}memberdata_1` ( `uid` , `cpname` , `cplogo` , `cptype` , `cptrade` , `cpproduct` , `cpcity` , `cpfoundtime` , `cpfounder` , `cpmannum` , `cpmoney` , `cpcode` , `cppermit` , `cpweb` , `cppostcode` , `cptelephone` , `cpfax` , `cpaddress` ,`cplinkman`,`cpmobphone`,`cpqq`,`cpmsn`) VALUES ( '$lfjuid','$cpname','$cplogo','$cptype','$cptrade','$cpproduct','$cpcity','$cpfoundtime','$cpfounder','$cpmannum','$cpmoney','$cpcode','$cppermit','$cpweb','$cppostcode','$cptelephone','$cpfax','$cpaddress','$cplinkman','$cpmobphone','$cpqq','$cpmsn')"); $grouptype=$webdb[AutoPassCompany]?'1':'-1'; $db->query("UPDATE {$pre}memberdata SET grouptype='$grouptype' WHERE uid='$lfjuid'"); refreshto("company.php?job=edit","你的资料已经提交",1); }else{ $db->query("UPDATE {$pre}memberdata_1 SET cpname='$cpname',cplogo='$cplogo',cptype='$cptype',cptrade='$cptrade',cpproduct='$cpproduct',cpcity='$cpcity',cpfoundtime='$cpfoundtime',cpfounder='$cpfounder',cpmannum='$cpmannum',cpmoney='$cpmoney',cpcode='$cpcode',cppermit='$cppermit',cpweb='$cpweb',cppostcode='$cppostcode',cptelephone='$cptelephone',cpfax='$cpfax',cpaddress='$cpaddress',cplinkman='$cplinkman',cpmobphone='$cpmobphone',cpqq='$cpqq',cpmsn='$cpmsn' WHERE uid='$lfjuid'"); refreshto("company.php?job=edit","修改成功",1); } } ``` 这里有一枚很明显的变量覆盖 extract 就来覆盖掉表前缀 然后自己补全语句。 可以看到后面还有一个update的。 所以可以直接提升自己为管理。 ### 漏洞证明： [<img src="https://images.seebug.org/upload/201403/091317423f60d03156fe9887b7eca70293a4c9a1.jpg" alt="fenlei1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201403/091317423f60d03156fe9887b7eca70293a4c9a1.jpg) 可以看到 成功覆盖了 表前缀。 然后补全语句。 [<img src="https://images.seebug.org/upload/201403/091318598aff0ef84257c863f72de2624a523d4b.jpg" alt="fenlei2.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201403/091318598aff0ef84257c863f72de2624a523d4b.jpg) [<img src="https://images.seebug.org/upload/201403/091319147f37e5d9d243e916b1cedb4d0f98f25a.jpg" alt="fenlei3.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201403/091319147f37e5d9d243e916b1cedb4d0f98f25a.jpg) 提升成功。