中新網安安全研究院2017年3月安全報告


XOOPS SQL注入漏洞公告(CVE-2017-7290)


1488098780430279.png

 

一、關于XOOPS

XOOPS(http://www.xoops.org/)是一個開放源代碼的工具程序,用于實現從小型到大型的動態交互社區,公司門戶,企業內部網,網絡日志等。安裝到服務器主機后,網站管理員可以登陸到管理區,通過瀏覽器來管理內容信息。后臺管理手段直觀易用,不需要任何編程,而且XOOPS還提供了方便的安裝程序。

Xoops作為世界上流行的web CMS系統,凝聚世界各地鐘愛開源精神的開發者和支持者,北至愛爾蘭南至澳大利亞、阿根廷,東自中國日本西到美國加拿大,無不可見為了開源社區而奉獻的人們。


二、適用范圍

影響范圍:XOOPS 2.5.7.2-2.5.8.1(最新版本)


三、漏洞詳情


漏洞污染點:存在于include/finduser.php文件的getAll方法中。


image.png

跟進formatURL函數,正則表達式設計時是以^開頭 后面結尾沒有用$符號,這為我們構造SQL注入提供了很大的便利。


image.png

漏洞觸發點位于:include/findusers.php 文件的getCount方法中


image.png


四、漏洞利用

普通的SQL注入獲取數據方法不再贅述,在數據庫賬號為管理員時,可以嘗試直接寫Shell,以下圖中的構造語句為例,可以導出文件到任意目錄:


image.png


image.png


五、漏洞Poc

image.png


六、修復方法

由于目前官方還沒有更新補丁,可以先對傳入的url參數進行防注處理。


七、CVE相關鏈接

 https://nvd.nist.gov/vuln/detail/CVE-2017-7290

 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7290

 https://gist.github.com/jk1986/3b304ac6b4ae52ae667bba380c2dce19

 http://www.securityfocus.com/bid/97230

 http://downloads.securityfocus.com/vulnerabilities/exploits/97230.py



下载打麻将免费游戏 秒速赛车玩法技巧_Welcome 三方投资理财网站 qq游戏二人麻将外挂网 斗牛牛游戏排名 幸运快3软件下载 mg4355最新网站 11068七星彩开奖号码 湖南幸运赛车有什么技巧 浙江快乐12开奖结果电脑版 全民欢乐捕鱼豪华捕鱼礼包 湖南长沙麻将免费场 正版彩票软件网 最权威bbin 香港赛马会资料网站 北京赛车开奖记录预测 足球让分胜负规则