Finecms一处代码引发多处SQL注入

/dayrui/core/D_Member_Home.php 81行:

再下来的109行:

$this->link->order_by($order);

首先从$_GET里获得了order并直接放入order by语句中,造成SQL注入。

因为有多个类继承了这个类,所以此处SQL注射造成多处功能中枪,包括finecms各个子功能。

举个例子,拿news来说。

首先修改/dayrui/core/D_Common.php 304行:

 

在IS_ADMIN后面或了一个1,将数据库debug开启。这时候,访问http://xxxx/member/index.php?s=news&c=home&kw=&order=aaaa'

即可看到报错:

001.jpg

但既然默认是不会报错的,那么order by 后面除了延时注入,还有什么别的注入方法?

在CI的AR中,一旦数据库语句运行出错,其后跟随的result()或result_array()函数就会抛出一个致命错误:Call to a member function result_array() on a non-object,导致php不能继续执行。所以,即使error_reporting(0),或不开启php报错,我们也可以通过观察页面是否执行完全来判断SQL语句是否执行成功。

所以,给予了我们盲注的条件:出错和正确的显示的页面不同。

废话说了一大堆,直接给利用方法吧:

 

以上方法构造了一个出错的SQL语句,通过子查询返回结果条数来出错。若子查询返回条数大于1,则会爆“Subquery returns more than 1 row”错误。所以,当ord('r')>113的时候,where语句真,select出来多条结果,造成SQL语句报错,进而导致php出现Fatal error。当ord('r')>114的时候,where语句假,select出来0条结果,不会报错。

002.jpg

003.jpg

解决方案:

加强过滤