注入：

漏洞文件:

/cms/modules/assist_category/module.php

PHP

1
2
3
4
5
6
7
8
9
10
11
12
function add_list($iid,$sids){
//echo $sids;
 $temp = array();
 $list_sid = explode(",",$sids);
 foreach((array)$list_sid as $v){
 if(empty($v))continue;
 $flag = $this->DB_master->query("INSERT INTO {$this->list_table} (sid,iid) values ({$v},{$iid})");
 if($flag) $temp[] = $v;
 $this->item_count($v);
 }
 return $temp;
}

這裏的$v以及$iid缺少單引號的保護,先函數回溯

關聯文件:/cms/modules/item/call/add.call.php

PHP

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

$verified=false;

$ever_verified=empty($data['main']['ever_verified'])?0:1;

if($data['verify']==1){

$verified=true;

$data['main']['verified']=$data['item']['verified']=$data['main']['ever_verified']=1;

}else{

$data['main']['verified']=$data['item']['verified']=0;

}

//插入主表取得ID

$id=$this->DB_master->insert(

$this->main_table,

$this->DB_master->escape_string($data['main']),

array('return_id'=>true)

);

//原本的ID,非遞增

$id=isset($data['main']['id'])?$data['main']['id']:$id;

if(empty($id))returnfalse;

//收集己上傳的附件

if(isset($data['attachment_hash'])){

uploaded_attachments($this,$id,$data['attachment_hash']);

unset($data['attachment_hash']);

}

if(!isset($data['main']['id'])){

//會員數據表

$this->DB_master->insert(

$this->member_table,

array(

'iid'=>$id,

'uid'=>$data['item']['uid'],

'model'=>$data['main']['model'],

'verified'=>$data['main']['verified'],

'timestamp'=>$data['item']['timestamp']

)

);

}

//更新會員的內容數

$this->DB_master->update(

$this->system->member_table,

array(

'item_count'=>'item_count
+1'

),

"id
= '{$data['main']['uid']}'",

false

);

if(isset($data['assist_category'])){

//輔欄目

$assist_category=&$this->system->load_module('assist_category');

$assist_category->add_list($id,$data['assist_category']);

}

這裏傳入的是$id與$data[‘assist_category’]兩個參數,往上跟蹤看看是否可控以及有安全防護。

PHP

1
2
3
4
5
6
7
8
$id = $this->DB_master->insert(
 $this->main_table,
 $this->DB_master->escape_string($data['main']),
 array('return_id' => true)
 );
 //原本的ID,非遞增
 $id = isset($data['main']['id']) ? $data['main']['id'] : $id;
 if(empty($id)) return false;

$id是不可控的，代碼中有註釋說明

關聯文件:

/cms/modules/item/member/add.php

PHP

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

//如果魔法引號開啓strip掉

$_POST=p8_stripslashes2($_POST);

//檢查分類自動審覈權限

unset($_POST['verify']);

$_POST['verifier']='';

if($this_controller->check_category_action('autoverify',$_POST['cid'])){

$_POST['verify']=1;

$_POST['verifier']=$USERNAME;

}

require$this_model['path'].'/member/add.php';

$id=$this_controller->add($_POST)ormessage('fail');

只能說狗(0.0)strip掉了單引號，$data中的內容就是我們POST提交進去通過遍歷賦值的,所以等於沒有安全防護

本地復現：

通過sql語句監聽

但這裏有必要提出的一點對於我當時遇到的難點是關於逗號分隔，因爲這個注入點特別操蛋，就算語句執行錯誤也不會影響正常的功能操作，而且根本沒法盲注。所以沒法布爾也沒法報錯注入，只能基於時間來注入，但是經過逗號來分隔的所以很頭疼。帶着求學的心理去找P牛，發現他果然遇到過這種問題，並且成功解決了問題。@phithon

XSS: