前言

最近看了下tpshop，審計(jì)出幾個(gè)雞肋的漏洞，這個(gè)SQL注入漏洞是其中之一。然后審計(jì)完網(wǎng)上搜了一下發(fā)現(xiàn)有一堆后臺(tái)的sql注入漏洞，應(yīng)該是覺得后臺(tái)的SQL不用修叭（我個(gè)人是可以理解的）。

網(wǎng)站建設(shè)公司,為您提供網(wǎng)站建設(shè),網(wǎng)站制作,網(wǎng)頁設(shè)計(jì)及定制網(wǎng)站建設(shè)服務(wù),專注于成都定制網(wǎng)頁設(shè)計(jì),高端網(wǎng)頁制作,對(duì)成都自拌料攪拌車等多個(gè)行業(yè)擁有豐富的網(wǎng)站建設(shè)經(jīng)驗(yàn)的網(wǎng)站建設(shè)公司。專業(yè)網(wǎng)站設(shè)計(jì),網(wǎng)站優(yōu)化推廣哪家好,專業(yè)營(yíng)銷推廣優(yōu)化,H5建站,響應(yīng)式網(wǎng)站。

漏洞觸發(fā)點(diǎn)

首先要登錄后臺(tái)，這也是我說漏洞很雞肋的原因。
漏洞位于在后臺(tái)的商城-》文章->文章列表處的搜索

抓包，存在漏洞的參數(shù)是keywords，當(dāng)輸入payload
' or length(database())=10)#時(shí)，頁面返回文章數(shù)0，

而當(dāng)輸入payload' or length(database())=9)#時(shí)，頁面返回為共33篇文章（總共33篇，數(shù)據(jù)庫名是tpshop2.0）

因此可以通過布爾注入來獲取數(shù)據(jù)庫信息，當(dāng)然延時(shí)也可以，只不過我自己是能不用延時(shí)就不用延時(shí)的人。

漏洞成因，分析下代碼

分析下代碼，原因很簡(jiǎn)單，where直接拼接了。并且會(huì)將查詢到的結(jié)果返回到頁面中。
application/admin/controller/Article.php:56

        $keywords = trim(I('keywords'));
        $keywords && $where.=" and title like '%$keywords%' ";
        $cat_id = I('cat_id',0);
        $cat_id && $where.=" and cat_id = $cat_id ";
        $res = $Article->where($where)->order('article_id desc')->page("$p,$size")->select();
        $count = $Article->where($where)->count();// 查詢滿足要求的總記錄數(shù)
        $pager = new Page($count,$size);// 實(shí)例化分頁類 傳入總記錄數(shù)和每頁顯示的記錄數(shù)
        //$page = $pager->show();//分頁顯示輸出

        $ArticleCat = new ArticleCatLogic();
        $cats = $ArticleCat->article_cat_list(0,0,false);
        if($res){
         foreach ($res as $val){
          $val['category'] = $cats[$val['cat_id']]['cat_name'];
          $val['add_time'] = date('Y-m-d H:i:s',$val['add_time']);          
          $list[] = $val;
         }
        }
        $this->assign('cats',$cats);
        $this->assign('cat_id',$cat_id);
        $this->assign('list',$list);// 賦值數(shù)據(jù)集
        $this->assign('pager',$pager);// 賦值分頁輸出        
 return $this->fetch('articleList');

最后執(zhí)行的sql語句為：

其他

我在用payload的時(shí)候用的是=,是因?yàn)檩斎胱隽诉^濾，會(huì)轉(zhuǎn)義> <，用大于號(hào)不能直接執(zhí)行sql，會(huì)報(bào)錯(cuò)。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

分享文章：某shop后臺(tái)sql注入漏洞-創(chuàng)新互聯(lián)
轉(zhuǎn)載來于：http://weahome.cn/article/dgiije.html