Mingsoft MCMS v5.2.8 自定义模板处存在SQL注入

# 漏洞分析

漏洞路由位置/${ms.manager.path}/mdiy/model/delete，漏洞点在如下方法，前端传入models对象。对models对象中遍历获取其中的ModelTableName值传入modelBiz.dropTable方法执行。
![输入图片说明](https://images.gitee.com/uploads/images/2022/0720/222129_37054a28_8036023.png "image-20220720213956569.png")
在dropTable方法中调用getDao().dropTable(table)方法。
![输入图片说明](https://images.gitee.com/uploads/images/2022/0720/222202_65dcc9e0_8036023.png "image-20220720215058150.png")
查看dropTable对应的mapper内容如下，直接将table内容进行拼接且未预编译，造成SQL注入。
![输入图片说明](https://images.gitee.com/uploads/images/2022/0720/222232_d805c823_8036023.png "image-20220720215229181.png")
# 漏洞验证

首先需要创建自定义模版就需要自定义模板的json内容。通过如下https://code.mingsoft.net/创建自定义模型的json内容。
![输入图片说明](https://images.gitee.com/uploads/images/2022/0720/222258_f81366b2_8036023.png "image-20220720215606438.png")
将创建好的json内容粘贴到网站的自定义模板——自定义模型json中，点击确定。
![输入图片说明](https://images.gitee.com/uploads/images/2022/0720/222318_a8d826eb_8036023.png "image-20220720215732784.png")
开启burpsuite抓包，选择刚新建的这个模版，点击删除按钮。
![输入图片说明](https://images.gitee.com/uploads/images/2022/0720/222346_9536333d_8036023.png "image-20220720215952743.png")
抓包中通过修改modelTableName字段，我们如下是利用堆叠注入方式，创建一个新的数据表。
![输入图片说明](https://images.gitee.com/uploads/images/2022/0720/222411_ddc8847b_8036023.png "image-20220720221527975.png")
通过登陆数据库查看执行结果，发现注入成功，删除了MDIY_MODEL_TEST表，并且成功创建了testtable表。
![输入图片说明](https://images.gitee.com/uploads/images/2022/0720/222432_054cfe58_8036023.png "image-20220720221722996.png")

GVP 铭飞/MCMS

内容风险标识

评论 (0)

GVP铭飞/MCMS

内容风险标识