新年礼物：Phpcms V9 短消息回复SQL注入

90_

modules/message/index.php

1. 
   
2. public function reply() {
   
3.                         if(isset($_POST['dosubmit'])) {
   
4.                                 $messageid = intval($_POST['info']['replyid']);
   
5.                                 //判断当前会员，是否可发，短消息．
   
6.                                 $this->message_db->messagecheck($this->_userid);
   
7.                                 //检查此消息是否有权限回复
   
8.                                 $this->check_user($messageid,'to');
   
9.                                  
   
10.                                  $_POST['info']['send_from_id'] = $this->_username;
    
11.                                 $_POST['info']['message_time'] = SYS_TIME;
    
12.                                 $_POST['info']['status'] = '1';
    
13.                         $_POST['info']['folder'] = 'inbox';
    
14.                                 $_POST['info']['content'] = safe_replace($_POST['info']['content']);
    
15.                                 $_POST['info']['subject'] = safe_replace($_POST['info']['subject']);
    
16.                                 if(empty($_POST['info']['send_to_id'])) {
    
17.                                         showmessage(L('user_noempty'),HTTP_REFERER);
    
18.                                 }
    
19.                                 $messageid = $this->message_db->insert($_POST['info'],true);//目测是直接遍历数据，然后key就是column val就是vaules插入。。如info[6148']
    
20.                                 if(!$messageid) return FALSE;
    
21.                                 showmessage(L('operation_success'),HTTP_REFERER);
    
22.                                  
    
23.                         } else {
    
24.                                 $show_validator = $show_scroll = $show_header = true;
    
25.                                 include template('message', 'send');
    
26.                         }
    
27.          
    
28.                 }
    

复制代码

mysql.class.php

1. 
   
2. public function insert($data, $table, $return_insert_id = false, $replace = false) {
   
3.                         if(!is_array( $data ) || $table == '' || count($data) == 0) {
   
4.                                 return false;
   
5.                         }
   
6.                          
   
7.                         $fielddata = array_keys($data);//不出所料
   
8.                         $valuedata = array_values($data);
   
9.                         array_walk($fielddata, array($this, 'add_special_char')); //但是处理过，似乎没啥办法注入，反正我是没想到
   
10.                         array_walk($valuedata, array($this, 'escape_string'));
    
11.                  
    
12.                         $field = implode (',', $fielddata);
    
13.                         $value = implode (',', $valuedata);
    
14.          
    
15.                         $cmd = $replace ? 'REPLACE INTO' : 'INSERT INTO';
    
16.                         $sql = $cmd.' `'.$this->config['database'].'`.`'.$table.'`('.$field.') VALUES ('.$value.')';
    
17.                         $return = $this->execute($sql);
    
18.                         return $return_insert_id ? $this->insert_id() : $return;
    
19.                 }                
    
20.                 public function add_special_char(&$value) {
    
21.                         if('*' == $value || false !== strpos($value, '(') || false !== strpos($value, '.') || false !== strpos ( $value, '`')) {
    
22.                                 //不处理包含* 或者 使用了sql方法。
    
23.                         } else {
    
24.                                 $value = '`'.trim($value).'`';
    
25.                         }
    
26.                         if (preg_match("/\b(select|insert|update|delete)\b/i", $value)) { //正则匹配，然后替换
    
27.                                 $value = preg_replace("/\b(select|insert|update|delete)\b/i", '', $value);
    
28.                         }
    
29.                         return $value;
    
30.                 }
    

复制代码

提示：
  Unknown column '6148\'' in 'field list'