ZZCMS 用户中心时间盲注漏洞分析与利用<\/h1>

漏洞概述<\/h2>
ZZCMS 用户中心存在时间盲注漏洞，该漏洞位于 `\/inc\/function.php<\/code> 文件的 markit()<\/code> 函数中，由于未对 $_SERVER['REQUEST_URI']<\/code> 进行过滤就直接拼接进 SQL 语句，导致 SQL 注入漏洞。<\/p>`

漏洞分析<\/h2>
漏洞位置<\/h3>
漏洞核心代码位于 \/inc\/function.php<\/code> 的 markit()<\/code> 函数：<\/p>
function<\/span> markit<\/span>(){
<\/span><\/span>    $userip=<\/span>$_SERVER["REMOTE_ADDR"<\/span>]; 
<\/span><\/span>    $url=<\/span>"http:\/\/"<\/span>.<\/span>$_SERVER['HTTP_HOST'<\/span>].<\/span>$_SERVER['REQUEST_URI'<\/span>];
<\/span><\/span>    echo<\/span> $url;
<\/span><\/span>    query<\/span>("insert into zzcms_bad (username,ip,dose,sendtime)values('"<\/span>.<\/span>$_COOKIE["UserName"<\/span>].<\/span>"','<\/span>$userip<\/span>','<\/span>$url<\/span>','"<\/span>.<\/span>date<\/span>('Y-m-d H:i:s'<\/span>).<\/span>"')"<\/span>) ;     
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>漏洞成因<\/h3>

$_SERVER['REQUEST_URI']<\/code> 直接拼接进 SQL 语句，未做任何过滤<\/li>
虽然 \/inc\/stopsqlin.php<\/code> 中有针对 XSS 的过滤，但对 SQL 注入无效：
if<\/span> (strpos<\/span>($_SERVER['REQUEST_URI'<\/span>],'script'<\/span>)!==<\/span>false<\/span> ||<\/span> strpos<\/span>($_SERVER['REQUEST_URI'<\/span>],'%26%2399%26%'<\/span>)!==<\/span>false<\/span>||<\/span> strpos<\/span>($_SERVER['REQUEST_URI'<\/span>],'%2F%3Cobject'<\/span>)!==<\/span>false<\/span>){
<\/span><\/span>    die<\/span> ("无效参数"<\/span>);
<\/span><\/span>}
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
触发条件<\/h3>
漏洞触发需要满足以下条件：<\/p>

修改 Cookie 中的 UserName<\/code> 值<\/li>
使查询出来的 $row["editor"]<\/code> 值与 $username<\/code> 不同<\/li>
$_POST['id']<\/code> 的值必须在对应表中存在<\/li>
<\/ol>
漏洞复现<\/h2>
复现步骤<\/h3>

找到调用 markit()<\/code> 函数的地方，如 \/user\/del.php<\/code><\/li>
修改 Cookie 中的 UserName<\/code> 值<\/li>
构造恶意请求，在 URL 中注入 SQL 语句<\/li>
使用时间盲注技术判断注入结果<\/li>
<\/ol>
示例注入<\/h3>
由于注入点位于 URL 中，需要使用 ?<\/code> 进行连接：<\/p>
http:\/\/target.com\/user\/del.php?id=1' AND (SELECT * FROM (SELECT(SLEEP(5)))a)-- 
<\/code><\/pre>
修复建议<\/h2>

对 $_SERVER['REQUEST_URI']<\/code> 进行严格过滤<\/li>
使用参数化查询或预处理语句<\/li>
对用户输入进行转义处理<\/li>
限制特殊字符的输入<\/li>
<\/ol>
技术要点<\/h2>

时间盲注技术<\/strong>：通过 SLEEP()<\/code> 函数和条件判断来获取数据<\/li>
注入点构造<\/strong>：需要理解 URL 参数如何被拼接进 SQL 语句<\/li>
绕过技巧<\/strong>：虽然有针对 XSS 的过滤，但对 SQL 注入无效<\/li>
<\/ol>
注意事项<\/h2>

复现时需要确保 $_POST['id']<\/code> 的值在数据库中存在<\/li>
需要修改 Cookie 中的 UserName<\/code> 值才能进入注入分支<\/li>
注入语句需要根据实际环境进行调整<\/li>
<\/ol>
参考链接<\/h2>

源码下载地址：http:\/\/www.zzcms.net\/download\/zzcms2019.zip<\/li>
原始漏洞报告：http:\/\/www.a.com\/asdsabdas (示例链接)<\/li>
<\/ul>

ZZCMS 用户中心时间盲注漏洞分析与利用<\/h1>

漏洞概述<\/h2> ZZCMS 用户中心存在时间盲注漏洞，该漏洞位于 \/inc\/function.php<\/code> 文件的 markit()<\/code> 函数中，由于未对 $_SERVER['REQUEST_URI']<\/code> 进行过滤就直接拼接进 SQL 语句，导致 SQL 注入漏洞。<\/p>

漏洞复现<\/h2>

参考链接<\/h2> 源码下载地址：http:\/\/www.zzcms.net\/download\/zzcms2019.zip<\/li> 原始漏洞报告：http:\/\/www.a.com\/asdsabdas (示例链接)<\/li> <\/ul>

漏洞概述<\/h2>
ZZCMS 用户中心存在时间盲注漏洞，该漏洞位于 `\/inc\/function.php<\/code> 文件的 markit()<\/code> 函数中，由于未对 $_SERVER['REQUEST_URI']<\/code> 进行过滤就直接拼接进 SQL 语句，导致 SQL 注入漏洞。<\/p>`

参考链接<\/h2>

源码下载地址：http:\/\/www.zzcms.net\/download\/zzcms2019.zip<\/li>
原始漏洞报告：http:\/\/www.a.com\/asdsabdas (示例链接)<\/li> <\/ul>