补了20140605
首先是个注入,这个漏洞比较无语,真正的无视过滤,没引号保护。。
漏洞位于bbs/add-archive.php:
<?php
require_once 'bbs_public.php';
//验证用户登陆相关操作
$admin = new action_admin();
$admin->check_login();
$category = db_bbs_category::getInstance();
$category_data = $category->getAll();
$cid = isset($_GET['cid']) ? intval($_GET['cid']) : 1 ;
$label = db_bbs_label::getInstance();
$lable_data = $label->getAll();
if(isset($_POST['submit'])){
if(strtolower(trim($_POST['verify'])) != strtolower($_SESSION['verify'])){
action_public::turnPage('index.php','验证码输入错误!');
}
$archive = db_bbs_archive::getInstance();
unset($_POST['submit']);
unset($_POST['verify']);
$_POST['username'] = $_COOKIE['login_username'];
$_POST['userid'] = $admin->userid;
$_POST['ip'] = $_SERVER['REMOTE_ADDR'];
$_POST['addtime'] = mktime();
if($id = $archive->inserData($_POST)){ //这里直接将表单中的值交给了insertData函数,我们跟进
action_public::turnPage('archive-display.php?aid='.$id,'文章添加成功');
}else{
action_public::turnPage('index.php','添加失败,请联系我们!');
}
}
?>
inserData函数代码:
public function inserData($data){
$r = $this->odb->insert($this->tblName,$data);//继续跟进
if($r)
return $this->odb->getInsertId();
else
return false;
}
insert函数代码:
public function insert($table, $data)
{
$sql = $this->getInsertString($table, $data);//这里跟进
return $this->execSql($sql);//执行sql语句
}
getInsertString函数代码:
public function getInsertString($table, $data)
{
$n_str = '';
$v_str = '';
$table = $this->filterString($table);
foreach ($data as $k => $v)
{
$n_str .= $this->filterString($k).',';//对key进行filter,跟进filter函数
$v_str .= "'".$this->filterString($v)."',";
}
$n_str = preg_replace( "/,$/", "", $n_str );
$v_str = preg_replace( "/,$/", "", $v_str );
$str = 'INSERT INTO '.$table.' ('.$n_str.') VALUES('.$v_str.')';
return $str;
}
filterString函数代码:
else {
$ret = @mysqli_real_escape_string($this->con, $str);//对单引号、双引号和一些字符进行了转义。
if ( strlen($str) && !isset($ret) ) {
$r = $this->checkConnection();
if ($r !== true) {
$this->closeDB();
$ret = $str;
}
}
return $ret;
}
构造查询语句时没有加引号保护,导致注入。
另外就是验证码的问题打包下发出来吧,见漏洞证明。
SQL注入漏洞
key的insert注入,构造exp还是费了点劲,看下结果吧:
1、bbs上发帖:
2、抓包在content后写上exp:
3.forward后看我们的帖子:
验证码漏洞打包
首先以论坛发帖为例。发帖最下方需要验证码验证,我们输入验证码后点击发帖后抓包,这个包会验证下验证码是否正确,我们forward此包,再将第二个包放到repeater里即可实现重放攻击,造成无限制刷帖。
1.要重放的包:
2.刷帖结果:
存在同样的问题还有论坛回复处:
商品评论处:
修复方案:
1.注入点加个引号保护;
2.验证码的问题也很严重,毕竟电商被刷帖或者刷评论(好评?差评?)还是有些危害的。
