当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(22) 关注此漏洞

缺陷编号: WooYun-2013-17384

漏洞标题: 我是如何绕过PHPCMS补丁继续注入的

相关厂商: phpcms

漏洞作者: 我想拿个shell

提交时间: 2013-01-16 15:56

公开时间: 2013-01-21 15:56

漏洞类型: SQL注射漏洞

危害等级: 高

自评Rank: 15

漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

0人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-01-16: 细节已通知厂商并且等待厂商处理中
2013-01-21: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

无意中看了一下phpcms的补丁,只想吐个槽。

另外PHPCMS发布了补丁为什么不可以在论坛感谢一下wooyun平台呢,漏洞是我在平台发的多少可以提一下吧,这也是行业的一贯作风啊?

详细说明:

code 区域
public function add_special_char(&$value) {


		if('*' == $value || false !== strpos($value, '(') || false !== strpos($value, '.') || false !== strpos ( $value, '`')) {


			//不处理包含* 或者 使用了sql方法。


		} else {


			$value = '`'.trim($value).'`';


		}


		if (preg_match("/\b(select|insert|update|delete)\b/i", $value)) {


			$value = preg_replace("/\b(select|insert|update|delete)\b/i", '', $value);


		}


		return $value;


	}

漏洞证明:

将多个字符替换为空是不安全的。



seselectlect经过这个函数就会变成select,因为中间的select被替换为空了。

修复方案:

你再想想?



请在补丁发布页面感谢一下wooyun,在代码补丁处及补丁说明页面提供漏洞提交者信息是行业惯例。

版权声明:转载请注明来源 我想拿个shell@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-01-21 15:56

厂商回复:

最新状态:

2013-01-21:@我想拿个shell@乌云 ------------------------------------------------------- 如果wooyun平台希望在phpcms做推广,我们很乐意帮助!

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(少于3人评价):
登陆后才能进行评分
0%
50%
0%
0%
50%

评价

这些评论似乎很乌云~~~思密达
  1. 2013-01-16 15:58 | 我想拿个shell ( 实习白帽子 | Rank:70 漏洞数:5 | 好码近似诗,挫码不如屎。)

    刚看到wooyun的帮助里也写了这个要求: http://www.wooyun.org/help b)尊重问题提交者,在必要的程序更新日志和安全公告时能够署名问题发现者和漏洞来源,譬如某某某@wooyun WooYun: 皮皮播放器ActiveX出现溢出漏洞第三波

    回复此人
  2. 2013-01-22 11:01 | 乱雪 ( 路人 | Rank:2 漏洞数:3 | 一事无成,身心半健,穷。)

    很显然限定了单词边界的,不能用楼主的方法绕过。。。 在希望厂家感谢wooyun时,也希望各位洞主在亲手测试过后,连漏洞+测试例子一同附上,这样说服力比较强。有时候不能光通过阅读代码后主管判断就发漏洞公告的:)

    回复此人
  3. 2013-01-22 13:17 | 我想拿个shell ( 实习白帽子 | Rank:70 漏洞数:5 | 好码近似诗,挫码不如屎。)

    :( sorry 另外这个补丁没有考虑到magic_quote_gpc为off下的SQL注射,在那个环境下补丁依旧是无效的,关于这个事情,我写到了 http://zone.wooyun.org/content/2444 中。

    回复此人
  1. 2013-01-16 15:57 | xsser 认证白帽子 ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)
    2

    “我是如何” 体火了

    1# 回复此人
  2. 2013-01-16 15:58 | 我想拿个shell ( 实习白帽子 | Rank:70 漏洞数:5 | 好码近似诗,挫码不如屎。)
    1

    刚看到wooyun的帮助里也写了这个要求: http://www.wooyun.org/help b)尊重问题提交者,在必要的程序更新日志和安全公告时能够署名问题发现者和漏洞来源,譬如某某某@wooyun WooYun: 皮皮播放器ActiveX出现溢出漏洞第三波

    2# 回复此人
  3. 2013-01-16 16:00 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )
    0

    全是马甲 其实都是一个人,一个人

    3# 回复此人
  4. 2013-01-16 16:11 | 疯子 ( 普通白帽子 | Rank:259 漏洞数:45 | 世人笑我太疯癫,我笑世人看不穿~)
    0

    收到电视剧更新 前来围观!!

    4# 回复此人
  5. 2013-01-16 16:16 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1878 漏洞数:154 | 不要患得患失,我羡慕你,但是我还是选择做...)
    1

    我是如何XXOOXXOOXXOO的~

    5# 回复此人
  6. 2013-01-16 16:49 | xsser 认证白帽子 ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)
    0

    @我想拿个shell 的确,厂商应该知道点起码的尊重...

    6# 回复此人
  7. 2013-01-16 19:47 | 蓝风 ( 普通白帽子 | Rank:125 漏洞数:25 | 崬汸慾哓 嗼檤焄垳皁 沓猵圊屾亾沬荖 颩憬...)
    0

    你可以@phpcms 它

    7# 回复此人
  8. 2013-01-17 08:27 | Clar ( 路人 | Rank:5 漏洞数:2 | 当前无)
    0

    Mark!!!!洞主威武

    8# 回复此人
  9. 2013-01-21 17:25 | zeracker 认证白帽子 ( 普通白帽子 | Rank:1077 漏洞数:139 | 爱吃小龙虾。)
    1

    厂商不厚道!

    9# 回复此人
  10. 2013-01-21 17:25 | zeracker 认证白帽子 ( 普通白帽子 | Rank:1077 漏洞数:139 | 爱吃小龙虾。)
    0

    厂商不厚道!

    10# 回复此人
  11. 2013-01-21 17:47 | 斯文的鸡蛋 ( 普通白帽子 | Rank:173 漏洞数:41 | 我在这头,你在那头~)
    0

    可耻的笑了

    11# 回复此人
  12. 2013-01-21 18:41 | xsser 认证白帽子 ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)
    0

    厂商先修复吧...

    12# 回复此人
  13. 2013-01-21 23:17 | rdpclip ( 实习白帽子 | Rank:50 漏洞数:4 | 脚踏实地,不慕虚华,实事求是的rdpclip)
    0

    我认为厂商的回复可以这样理解:搜集所有phpcms漏洞,简单写个批量脚本修改主页+黑帽SEO来做WooYun的推广,PHPCMS不会介意的。Ps:纯属虚构,如有雷同,纯属巧合

    13# 回复此人
  14. 2013-01-22 00:54 | 小雨 ( 普通白帽子 | Rank:105 漏洞数:19 | phper)
    1

    洞主的正则学的不及格,\b是匹配单词边界的, seselectlect中的select显然是不能匹配的。

    14# 回复此人
  15. 2013-01-22 11:01 | 乱雪 ( 路人 | Rank:2 漏洞数:3 | 一事无成,身心半健,穷。)
    2

    很显然限定了单词边界的,不能用楼主的方法绕过。。。 在希望厂家感谢wooyun时,也希望各位洞主在亲手测试过后,连漏洞+测试例子一同附上,这样说服力比较强。有时候不能光通过阅读代码后主管判断就发漏洞公告的:)

    15# 回复此人
  16. 2013-01-22 11:09 | xsser 认证白帽子 ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)
    1

    @乱雪 +1

    16# 回复此人
  17. 2013-01-22 11:11 | xsser 认证白帽子 ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)
    1

    @乱雪 貌似之前洞主发了好几个phpcms漏洞吧

    17# 回复此人
  18. 2013-01-22 11:17 | 乱雪 ( 路人 | Rank:2 漏洞数:3 | 一事无成,身心半健,穷。)
    0

    @xsser 可能挖上瘾了 在“我又发现一个漏洞”的情况下一激动,就提交到wooyun了 哈哈。。

    18# 回复此人
  19. 2013-01-22 13:17 | 我想拿个shell ( 实习白帽子 | Rank:70 漏洞数:5 | 好码近似诗,挫码不如屎。)
    0

    :( sorry 另外这个补丁没有考虑到magic_quote_gpc为off下的SQL注射,在那个环境下补丁依旧是无效的,关于这个事情,我写到了 http://zone.wooyun.org/content/2444 中。

    19# 回复此人
  20. 2013-01-22 13:19 | 我想拿个shell ( 实习白帽子 | Rank:70 漏洞数:5 | 好码近似诗,挫码不如屎。)
    1

    @小雨 @乱雪 感谢二位。

    20# 回复此人

登录后才能发表评论,请先 登录