VULHUB ™

### 简要描述： XDCMS订餐系统SQL注入+报路径+任意物品0元够（官方demo演示） ### 详细说明： XDCMS订餐系统SQL注入#2（官方demo演示） 此SQL注入在提交订单时，进行查询订单中物品价格时导致注入。 此SQL注入不仅仅： 1、SQL注入 2、还会爆出系统绝对路径 3、最重要的是由于sql注入，导致查询价格失败，但是订单提交仍能成功，导致0元购买任意物品。 第一步选择物品： [<img src="https://images.seebug.org/upload/201311/301318138ed8ac4d44d2644b1145e0f703442b28.png" alt="cart1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/301318138ed8ac4d44d2644b1145e0f703442b28.png) 第二步提交订单： [<img src="https://images.seebug.org/upload/201311/301318285f3fadb98b23776b25dbf67ec57b0a2f.png" alt="cart2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/301318285f3fadb98b23776b25dbf67ec57b0a2f.png) 第三步抓包，修改数据： [<img src="https://images.seebug.org/upload/201311/301319099ee95b627c8e5265c3601489e4ed3b44.png" alt="cart3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/301319099ee95b627c8e5265c3601489e4ed3b44.png)...

### 简要描述： XDCMS订餐系统SQL注入+报路径+任意物品0元够（官方demo演示） ### 详细说明： XDCMS订餐系统SQL注入#2（官方demo演示） 此SQL注入在提交订单时，进行查询订单中物品价格时导致注入。 此SQL注入不仅仅： 1、SQL注入 2、还会爆出系统绝对路径 3、最重要的是由于sql注入，导致查询价格失败，但是订单提交仍能成功，导致0元购买任意物品。 第一步选择物品： [<img src="https://images.seebug.org/upload/201311/301318138ed8ac4d44d2644b1145e0f703442b28.png" alt="cart1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/301318138ed8ac4d44d2644b1145e0f703442b28.png) 第二步提交订单： [<img src="https://images.seebug.org/upload/201311/301318285f3fadb98b23776b25dbf67ec57b0a2f.png" alt="cart2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/301318285f3fadb98b23776b25dbf67ec57b0a2f.png) 第三步抓包，修改数据： [<img src="https://images.seebug.org/upload/201311/301319099ee95b627c8e5265c3601489e4ed3b44.png" alt="cart3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/301319099ee95b627c8e5265c3601489e4ed3b44.png) cartid为购买的每个物品的id号，这里实在进行查询物品的属性，如价格等。 这里的cartid没有过滤导致SQL注入。 还爆出了系统绝对路径。 [<img src="https://images.seebug.org/upload/201311/30131955fda3624baa9446464f37a9c8477da3f6.png" alt="cart4.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/30131955fda3624baa9446464f37a9c8477da3f6.png) 由于这里查询物品的属性失败，但是订单扔能提交成功，所以这里的订单的金额就是0元了。 [<img src="https://images.seebug.org/upload/201311/301321105f72bfa4a31a3494d809175e16050806.png" alt="cart5.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/301321105f72bfa4a31a3494d809175e16050806.png) 成功提交订单，而且是0元购买了物品。 ### 漏洞证明： 由于官方演示最新版装了安全狗，exp无法执行成功。 在免费版中根据c_cart表的结构，构造如下exp，演示exp成功，如下： 在cartid=2289处插入SQL语句： ``` ' union select 1,2,3,4,5,6,7,8,9 from (select count(*),concat(floor(rand(0)*2),(select concat(username,0x23,password) from c_admin limit 0,1))a from information_schema.tables group by a)b# ``` 即可获得用户名密码： ``` 1admin#c3284d0f94606de1fd2af172aba15bf3 ```