ZZCMS v8.3 二阶SQL注入漏洞分析与利用<\/h1>

漏洞概述<\/h2>
ZZCMS v8.3存在一个二阶SQL注入漏洞，攻击者可以通过精心构造的Payload实现时间盲注攻击。该漏洞出现在资讯发布和查看功能中，由于对editor参数处理不当，导致存储在数据库中的恶意SQL片段在后续查询中被执行。<\/p>

漏洞位置<\/h2>
资讯发布处理文件：\/user\/zxsave.php<\/code> (第51行)<\/li>
资讯查看处理文件：\/zx\/show.php<\/code> (第36行、第92行、第155行)<\/li>
<\/ol>
漏洞原理<\/h2>
初始输入处理<\/h3>
在发布资讯时，系统对POST数据使用了addslashes<\/code>函数进行转义处理，但editor<\/code>参数可控且未进行充分过滤：<\/p>
\/\/ \/user\/zxsave.php 第51行
<\/span><\/span><\/span>\/\/ 对POST数据使用addslashes但editor参数仍可控
<\/span><\/span><\/span><\/code><\/pre>二阶注入触发点<\/h3>
当用户查看资讯时，系统会执行以下操作：<\/p>

查询文章ID对应的信息<\/li>
检查用户组级别(groupid)和查看积分要求<\/li>
如果满足条件，调用Payif函数处理积分交易<\/li>
<\/ol>
\/\/ \/zx\/show.php 第36行
<\/span><\/span><\/span>\/\/ 根据groupid和积分要求进行判断
<\/span><\/span><\/span><\/code><\/pre>注入点分析<\/h3>
在积分处理过程中，系统构建了不安全的SQL语句：<\/p>
update<\/span> zzcms_user set<\/span> totleRMB=<\/span>totleRMB+<\/span>10<\/span> where<\/span> username =<\/span> 'admin'<\/span>
<\/span><\/span><\/code><\/pre>当editor<\/code>参数被恶意构造时，例如：<\/p>
editor=' and groupid=(select sleep(3)) -- -
<\/code><\/pre>
实际执行的SQL语句变为：<\/p>
update<\/span> zzcms_user set<\/span> totleRMB=<\/span>totleRMB+<\/span>10<\/span> where<\/span> username =<\/span> ''<\/span> and<\/span> groupid =<\/span> (select<\/span> sleep(3<\/span>)
<\/span><\/span><\/code><\/pre>这导致时间盲注成为可能，通过响应时间判断注入是否成功。<\/p>
漏洞利用<\/h2>
基本利用步骤<\/h3>

以普通用户身份发布资讯（groupid=1）<\/li>
设置查看权限为VIP或高级会员（或通过BurpSuite修改groupid为2）<\/li>
设置查看积分大于0<\/li>
构造恶意editor参数：<\/li>
<\/ol>
editor=' and groupid=(select sleep(3)) -- -
<\/code><\/pre>

查看资讯时观察响应时间异常<\/li>
<\/ol>
利用技巧<\/h3>


绕过积分消耗<\/strong>：

将and<\/code>逻辑运算符替换为or<\/code>，可以避免积分净损失：<\/p>
update<\/span> zzcms_user set<\/span> totleRMB=<\/span>totleRMB+<\/span>10<\/span> where<\/span> username =<\/span> 'TEag1e'' or groupid = (select sleep(3))
<\/span><\/span><\/span><\/code><\/pre>这样既扣除10积分又增加10积分，实现零成本攻击。<\/p>
<\/li>

MySQL执行特性<\/strong>：<\/p>

使用or<\/code>时，如果前面条件已匹配所有记录，后面条件不会执行<\/li>
使用and<\/code>时，如果前面条件不匹配任何记录，后面条件不会执行<\/li>
<\/ul>
<\/li>
<\/ol>
限制与绕过<\/h3>


字段长度限制<\/strong>：

editor<\/code>字段有50字符限制，需精心构造短小有效的Payload<\/p>
<\/li>

逻辑漏洞<\/strong>：

系统未校验cookie中的Username参数，可构造积分转移攻击：<\/p>

发布资讯时将editor设为自己的用户名<\/li>
查看时将cookie中的Username设为受害者用户名<\/li>
实现：受害者减10分，攻击者加10分<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞复现<\/h2>
环境准备<\/h3>

下载ZZCMS v8.3<\/li>
准备两个测试账户（攻击者和受害者）<\/li>
<\/ol>
复现步骤<\/h3>


攻击者登录并发布资讯：<\/p>

设置groupid=2（VIP权限）<\/li>
设置查看积分=10<\/li>
设置editor为恶意Payload或自己的用户名<\/li>
<\/ul>
<\/li>

查看资讯：<\/p>

对于时间盲注：观察响应延迟<\/li>
对于积分转移：修改cookie中的Username<\/li>
<\/ul>
<\/li>

验证结果：<\/p>

检查数据库响应时间<\/li>
检查用户积分变化<\/li>
<\/ul>
<\/li>
<\/ol>
防御建议<\/h2>


输入验证：<\/p>

对editor参数实施严格的白名单过滤<\/li>
限制特殊字符输入<\/li>
<\/ul>
<\/li>

输出处理：<\/p>

使用预编译语句处理数据库查询<\/li>
对动态生成的SQL进行参数化<\/li>
<\/ul>
<\/li>

逻辑修复：<\/p>

校验cookie中的Username与当前会话的一致性<\/li>
实现积分交易的原子性和一致性检查<\/li>
<\/ul>
<\/li>

其他措施：<\/p>

设置合理的字段长度限制<\/li>
实施最小权限原则<\/li>
<\/ul>
<\/li>
<\/ol>
总结<\/h2>
ZZCMS v8.3的二阶SQL注入漏洞展示了即使使用addslashes<\/code>等基础防护措施，不当的业务逻辑设计仍可能导致严重的安全问题。开发人员需要关注数据在整个生命周期中的安全性，从输入到存储再到使用，实施全方位的防护措施。<\/p>