UsualToolcms 8.0 前台sql

一、漏洞简介

二、漏洞影响

三、复现过程

漏洞分析

search.php

$key=UsualToolCMS::sqlcheck($_GET["key"]);
$navname="search";
require_once(dirname(__FILE__).'/'.'mytop.php');
//搜索记录
if(!empty($key)):
$asql="SELECT * FROM `cms_search` WHERE keyword ='$key'";
$adata=mysqli_query($mysqli,$asql);
if(mysqli_num_rows($adata)>0):
$mysqli->query("UPDATE `cms_search` SET `hit`=hit+1 WHERE keyword ='$key' and lang='$language'");
else:
$mysqli->query("INSERT INTO `cms_search` (`lang`,`keyword`) VALUES ('$language','$key')");

$key被sqlcheck函数过滤了，让我们看下这个函数

function sqlchecks($StrPost){
$StrPost=str_replace("'","’",$StrPost);
$StrPost=str_replace('"','“',$StrPost);
$StrPost=str_replace("(","（",$StrPost);
$StrPost=str_replace(")","）",$StrPost);
$StrPost=str_replace("@","#",$StrPost);
$StrPost=str_replace("/*","",$StrPost);
$StrPost=str_replace("*/","",$StrPost);
return $StrPost;
}

如果没有Url编码的话这里应该是不存在漏洞的了，仔细看上面的代码，数据库操作中还有一个$language,我们追踪下$language吧

全局查找，直接找到其定义的地方

conn.php

if(!empty($_COOKIE['UTCMSLanguage'])):$language=$_COOKIE['UTCMSLanguage'];else:$language=$indexlanguage;endif;

$language没有经过任何过滤就从Cookie传了进来

这就简单咯

复现

image