躺在床上读代码之phpcms sql注射漏洞 | WooYun-2012-15156

漏洞概要关注数(16) 关注此漏洞

漏洞标题：躺在床上读代码之phpcms sql注射漏洞

提交时间： 2012-11-23 14:01

公开时间： 2012-11-28 14:01

漏洞类型： SQL注射漏洞

危害等级：中

自评Rank： 8

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 help@wooyun.org

Tags标签： SQL注射

2人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2012-11-23：细节已通知厂商并且等待厂商处理中
2012-11-28：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

躺在床上读代码之phpcms [0x01]

详细说明：

在phpcms/modules/formguide/index.php中的57行。

code 区域

$formguide_input = new formguide_input($formid);


$data = $formguide_input->get($_POST['info']);

这里调用了一个class,formguide_input，然后get函数处理了$_POST过来的info，那么，我们看看这个get函数

code 区域

function get($data,$isimport = 0) {


		$this->data = $data;


		$info = array();


		foreach($this->fields as $field) {


			…… 省略几行也不会死


			$value = $data[$field['field']];


                        //在这里的value使用了data的值，data就是$_POST['info']


                         


                        …… 省略几行也不会死


			


			if($maxlength && $length > $maxlength) {


				if($isimport) {


					$value = str_cut($value,$maxlength,'');


                                        //value使用了str_cut截取了字节


				} else {


					showmessage($name.' '.L('not_more_than').' '.$maxlength.L('characters'));


				}


			} elseif($maxlength) {


				$value = str_cut($value,$maxlength,'');


                                //又一次截取


			}





                    省略……


             return $info;

str_cut函数是phpcms自定义的截取函数，第三个参数是控制dot是不是...，所以这里截取的时候当value是123\'的时候，如果截取字段是4的话，将截取出一个反斜线\出来。

而后这部分的变量进入了insert

在phpcms/modules/formguide/index.php中的63行。

$dataid = $this->m_db->insert($data, true);

导致了SQL注射漏洞

以下为str_cut的代码

code 区域

function str_cut($string, $length, $dot = '...') {


	$strlen = strlen($string);


	if($strlen <= $length) return $string;


	$string = str_replace(array(' ','&nbsp;', '&amp;', '&quot;', '&#039;', '&ldquo;', '&rdquo;', '&mdash;', '&lt;', '&gt;', '&middot;', '&hellip;'), array('∵',' ', '&', '"', "'", '“', '”', '—', '<', '>', '·', '…'), $string);


	$strcut = '';


	if(strtolower(CHARSET) == 'utf-8') {


		$length = intval($length-strlen($dot)-$length/3);


		$n = $tn = $noc = 0;


		while($n < strlen($string)) {


			$t = ord($string[$n]);


			if($t == 9 || $t == 10 || (32 <= $t && $t <= 126)) {


				$tn = 1; $n++; $noc++;


			} elseif(194 <= $t && $t <= 223) {


				$tn = 2; $n += 2; $noc += 2;


			} elseif(224 <= $t && $t <= 239) {


				$tn = 3; $n += 3; $noc += 2;


			} elseif(240 <= $t && $t <= 247) {


				$tn = 4; $n += 4; $noc += 2;


			} elseif(248 <= $t && $t <= 251) {


				$tn = 5; $n += 5; $noc += 2;


			} elseif($t == 252 || $t == 253) {


				$tn = 6; $n += 6; $noc += 2;


			} else {


				$n++;


			}


			if($noc >= $length) {


				break;


			}


		}


		if($noc > $length) {


			$n -= $tn;


		}


		$strcut = substr($string, 0, $n);


		$strcut = str_replace(array('∵', '&', '"', "'", '“', '”', '—', '<', '>', '·', '…'), array(' ', '&amp;', '&quot;', '&#039;', '&ldquo;', '&rdquo;', '&mdash;', '&lt;', '&gt;', '&middot;', '&hellip;'), $strcut);


	} else {


		$dotlen = strlen($dot);


		$maxi = $length - $dotlen - 1;


		$current_str = '';


		$search_arr = array('&',' ', '"', "'", '“', '”', '—', '<', '>', '·', '…','∵');


		$replace_arr = array('&amp;','&nbsp;', '&quot;', '&#039;', '&ldquo;', '&rdquo;', '&mdash;', '&lt;', '&gt;', '&middot;', '&hellip;',' ');


		$search_flip = array_flip($search_arr);


		for ($i = 0; $i < $maxi; $i++) {


			$current_str = ord($string[$i]) > 127 ? $string[$i].$string[++$i] : $string[$i];


			if (in_array($current_str, $search_arr)) {


				$key = $search_flip[$current_str];


				$current_str = str_replace($search_arr[$key], $replace_arr[$key], $current_str);


			}


			$strcut .= $current_str;


		}


	}


	return $strcut.$dot;


}

漏洞证明：

我想证明一下，可是这个功能在我本地测试失败，该表不存在，但是漏洞步骤确实如上。

修复方案：

进入数据库的东西不能随意取消dot的。

版权声明：转载请注明来源快点啊！！@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2012-11-28 14:01

厂商回复：

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2012-11-23 14:34 | xsser ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)
0

好淫荡的名字

1# 回复此人
2012-11-23 15:29 | 疯子 ( 普通白帽子 | Rank:259 漏洞数:45 | 世人笑我太疯癫，我笑世人看不穿~)
0

碉堡了。。。。

2# 回复此人
2012-11-23 17:49 | possible ( 普通白帽子 | Rank:373 漏洞数:32 | everything is possible!)
0

每天躺一次一天一个呀

3# 回复此人
2012-11-28 15:12 | xsser ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)
0

@快点啊！！真应该叫躺哥

4# 回复此人
2012-11-28 17:08 | Enjoy_Hacking ( 实习白帽子 | Rank:84 漏洞数:8 | 时间无言，如此这般。)
0

躺在床上对着代码撸？？？

5# 回复此人
2012-12-05 09:27 | w5r2 ( 普通白帽子 | Rank:226 漏洞数:52 )
0

@Enjoy_Hacking 这个说法NB

6# 回复此人

登录后才能发表评论，请先登录。

WooYun.org

漏洞概要关注数(16) 关注此漏洞

缺陷编号： WooYun-2012-15156

漏洞标题：躺在床上读代码之phpcms sql注射漏洞

相关厂商： phpcms

漏洞作者：快点啊！！

提交时间： 2012-11-23 14:01

公开时间： 2012-11-28 14:01

漏洞类型： SQL注射漏洞

危害等级：中

自评Rank： 8

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 help@wooyun.org

Tags标签： SQL注射

2人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源快点啊！！@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价):

登陆后才能进行评分

评价

WooYun.org

漏洞概要 关注数(16) 关注此漏洞

缺陷编号： WooYun-2012-15156

漏洞标题： 躺在床上读代码之phpcms sql注射漏洞

相关厂商： phpcms

漏洞作者： 快点啊！！

提交时间： 2012-11-23 14:01

公开时间： 2012-11-28 14:01

漏洞类型： SQL注射漏洞

危害等级： 中

自评Rank： 8

漏洞状态： 漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 help@wooyun.org

Tags标签： SQL注射

2人收藏 收藏 var token=""; var id="15156"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 快点啊！！@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

漏洞概要关注数(16) 关注此漏洞

漏洞标题：躺在床上读代码之phpcms sql注射漏洞

漏洞作者：快点啊！！

危害等级：中

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

2人收藏收藏
分享漏洞：

版权声明：转载请注明来源快点啊！！@乌云

漏洞评价(共0人评价):

登陆后才能进行评分