当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(9) 关注此漏洞

缺陷编号: WooYun-2014-47827

漏洞标题: Yxcms管理员SESSION伪造漏洞

相关厂商: yxcms

漏洞作者: phith0n认证白帽子

提交时间: 2014-01-06 14:59

公开时间: 2014-04-04 15:00

漏洞类型: 非授权访问/权限绕过

危害等级: 高

自评Rank: 12

漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: CSRF,白盒审计

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-01-06: 细节已通知厂商并且等待厂商处理中
2014-01-09: 厂商已经确认,细节仅向厂商公开
2014-01-12: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2014-03-05: 细节向核心白帽子及相关领域专家公开
2014-03-15: 细节向普通白帽子公开
2014-03-25: 细节向实习白帽子公开
2014-04-04: 细节向公众公开

简要描述:

yxcms是一款内容管理系统。
借助后台一个CSRF起飞,伪造session可直接登录后台~

详细说明:

我也是第一次见到这样有趣的漏洞,yxcms允许我们自定义session,而且这个过程通过get方式来完成。

我觉得这样的问题属于CSRF,不经意之间就能获取大效果。

其问题代码如下:

code 区域
<?php


//公共类


class commonController extends baseController{





	public function __construct()


	{


		parent::__construct();


        if(!empty($_GET['phpsessid'])) session_id($_GET['phpsessid']);//通过GET方法传递sessionid,firefox


        session_starts();


		……



  当$_GET[‘phpsessid’]非空时,就令session_id为我们传入的值。

  于是我想到一个猥琐的方法,我们构造一个链接让管理员点击,管理员点击后会重新设置他的session,而且这个session就是我们构造的。因为session重置了所以管理员也需要重新登录,而重新登录后其session_id就是我们构造的。我们只要利用这个session_id就能登录管理后台了。

  比如我来构造:

  http://xxxx/index.php?r=admin/index/index&phpsessid=f4cking123

  管理员点击后会跳转到登录页面,但此时他的phpsession已经是我们构造的f4cking123了:

04.jpg



  这是管理员如果重新登录,那个这个session就有后台权限了。我们也利用这个链接:http://xxxx/index.php?r=admin/index/index&phpsessid=f4cking123,将自己的session设置成f4cking123,或者随意怎么修改,只要把phpsessid修改成f4cking123就能拥有后台权限了:

05.jpg

漏洞证明:

见详细说明。

修复方案:

后台所有操作加token,不要轻易相信用户的输入。

版权声明:转载请注明来源 phith0n@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2014-01-09 13:32

厂商回复:

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2014-01-04 15:20 | lxj616 ( 普通白帽子 | Rank:455 漏洞数:92 | 来自喵星的太空喵)
    0

    已交由第三方厂商(cncert国家互联网应急中心)处理......

    1# 回复此人
  2. 2014-01-04 21:21 | 想要减肥的胖纸 ( 普通白帽子 | Rank:255 漏洞数:43 )
    0

    WooYun: YXcmsApp 注入 漏洞 @cncert国家互联网应急中心 顺便处理下呗 等待认领

    2# 回复此人
  3. 2014-01-05 10:09 | cncert国家互联网应急中心(乌云厂商)
    0

    @想要减肥的胖纸 这个看不到,对于yxcms,此前测试与其他CMS有同源情况,根据提交的内容,我们会进行其他测试。

    3# 回复此人
  4. 2014-01-09 13:34 | xfkxfk 认证白帽子 ( 核心白帽子 | Rank:2299 漏洞数:351 | 呵呵!)
    0

    嗨,cncert就是好,大方,走大厂商。 其他cms都是小厂商,10个注入顶这一个的rank。。。。

    4# 回复此人
  5. 2014-01-09 15:52 | saline ( 普通白帽子 | Rank:294 漏洞数:37 | Focus On Web Secur1ty)
    0

    @xfkxfk 有钱就好啊

    5# 回复此人
  6. 2014-01-09 16:14 | xfkxfk 认证白帽子 ( 核心白帽子 | Rank:2299 漏洞数:351 | 呵呵!)
    0

    @saline 很久很久没发钱了。。。

    6# 回复此人
  7. 2014-01-09 20:50 | phith0n 认证白帽子 ( 普通白帽子 | Rank:804 漏洞数:126 | 一个想当文人的黑客~)
    0

    @xfkxfk 不信~

    7# 回复此人
  8. 2014-01-09 21:00 | xfkxfk 认证白帽子 ( 核心白帽子 | Rank:2299 漏洞数:351 | 呵呵!)
    0

    @saline @phith0n 真的,不信你问管理

    8# 回复此人
  9. 2014-04-04 17:39 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)
    0

    @phith0n 这种漏洞有个名词,叫“会话固定”漏洞,确实有趣。这个漏洞有奖励的,等我慢慢发。

    9# 回复此人
  10. 2014-04-04 17:44 | phith0n 认证白帽子 ( 普通白帽子 | Rank:804 漏洞数:126 | 一个想当文人的黑客~)
    0

    @疯狗 嘿嘿,期待!

    10# 回复此人
  11. 2014-04-21 15:40 | 廷廷 ( 路人 | Rank:0 漏洞数:1 | 有很强的好奇心,爱好广泛,求女女带走。。...)
    0

    @phith0n 看的你的文章 很感谢 能提供下您的QQ不?

    11# 回复此人

登录后才能发表评论,请先 登录