Thinksaas某处绕过过滤的注射漏洞 | WooYun-2014-50236

漏洞概要关注数(10) 关注此漏洞

缺陷编号： WooYun-2014-50236

漏洞标题： Thinksaas某处绕过过滤的注射漏洞

漏洞作者： ′雨。

提交时间： 2014-02-03 17:14

公开时间： 2014-05-04 17:14

漏洞类型： SQL注射漏洞

危害等级：高

自评Rank： 20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 help@wooyun.org

Tags标签：无

1人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-02-03：细节已通知厂商并且等待厂商处理中
2014-02-04：厂商已经确认，细节仅向厂商公开
2014-02-07：细节向第三方安全合作伙伴开放（绿盟科技、唐朝安全巡航、无声信息）
2014-03-31：细节向核心白帽子及相关领域专家公开
2014-04-10：细节向普通白帽子公开
2014-04-20：细节向实习白帽子公开
2014-05-04：细节向公众公开

简要描述：

添加标签过滤不严。

详细说明：

今天下了一个thinksaas 最新版，就看了看

在xfkxfk 爆了一些洞后还是变安全了一些。但是还是有很多依旧没过滤。

xfkxfk 爆了app/tag/action/add.php

我看的漏洞文件 app/tag/action/add_ajax.php

code 区域

case "do":


	


		$objname = t($_POST['objname']);


		$idname = t($_POST['idname']);


		$objid = t($_POST['objid']);


		$tags = t($_POST['tags']);


		


		$new['tag']->addTag($objname,$idname,$objid,$tags);


		


		echo "<script language=JavaScript>parent.window.location.reload();</script>";


	


		break;


}

做了过滤

function t($text) {

$text = preg_replace ( '/\[.*?\]/is', '', $text );

$text = cleanJs ( $text );

// 彻底过滤空格BY QINIAO

$text = preg_replace ( '/\s(?=\s)/', '', $text );

$text = preg_replace ( '/[\n\r\t]/', ' ', $text );

$text = str_replace ( ' ', ' ', $text );

// $text = str_replace ( ' ', '', $text );

$text = str_replace ( ' ', '', $text );

$text = str_replace ( '&', '', $text );

$text = str_replace ( '=', '', $text );

$text = str_replace ( '-', '', $text );

$text = str_replace ( '#', '', $text );

$text = str_replace ( '%', '', $text );

$text = str_replace ( '!', '', $text );

$text = str_replace ( '@', '', $text );

$text = str_replace ( '^', '', $text );

$text = str_replace ( '*', '', $text );

$text = str_replace ( 'amp;', '', $text );

$text = str_replace ( 'position', '', $text );

$text = strip_tags ( $text );

$text = htmlspecialchars ( $text );

$text = str_replace ( "'", "", $text );

return $text;

}</code>

过滤了单引号还有各种注释。。

过滤了之后带入了addTag

code 区域

function addTag($objname,$idname,$objid,$tags){


	    


		if($objname != '' && $idname != '' && $objid!='' && $tags!=''){


			$tags = str_replace ( '，', ',', $tags );


			$arrTag = explode(',',$tags);


			foreach($arrTag as $item){


				$tagname = t($item);


				if(strlen($tagname) < '32' && $tagname != ''){


					$uptime = time();


					


					$tagcount = $this->findCount('tag',array(


						'tagname'=>$tagname,


					));


					


					if($tagcount == '0'){


						


						$tagid = $this->create('tag',array(


							'tagname'=>$tagname,


							'uptime'=>$uptime,


						));


						


						$tagIndexCount = $this->findCount('tag_'.$objname.'_index',array(


							$idname=>$objid,


							'tagid'=>$tagid,


						));


						


						if($tagIndexCount == '0'){


							


							$this->create("tag_".$objname."_index",array(


								$idname=>$objid,


								'tagid'=>$tagid,


							));


							


						}


						


						$tagIdCount = $this->findCount("tag_".$objname."_index",array(


							'tagid'=>$tagid,


						));


						


						$count_obj = "count_".$objname;


						


						$this->update('tag',array(


							'tagid'=>$tagid,


						),array(


							$count_obj=>$tagIdCount,


						));


						


					}else{





						$tagData = $this->find('tag',array(


							'tagname'=>$tagname,


						));


						


						$tagIndexCount = $this->findCount("tag_".$objname."_index",array(


							$idname=>$objid,


							'tagid'=>$tagData['tagid'],


						));


						


						if($tagIndexCount == '0'){


							


							$this->create("tag_".$objname."_index",array(


							


								$idname=>$objid,


								'tagid'=>$tagData['tagid'],


							


							));


							


						}


						


						$tagIdCount = $this->findCount("tag_".$objname."_index",array(


							'tagid'=>$tagData['tagid'],


						));


						


						$count_obj = "count_".$objname;


						


						$this->update('tag',array(


							'tagid'=>$tagData['tagid'],


						),array(


							$count_obj=>$tagIdCount,


							'uptime'=>$uptime,


						));


						


					}


					


				}


			}


		}


	}

code 区域

$tagIndexCount = $this->findCount('tag_'.$objname.'_index',array(


							$idname=>$objid,


							'tagid'=>$tagid,


						));

可以看到直接$idname 做key了。

code 区域

public function findCount($table, $conditions = null) {


		$where = "";


		if (is_array ( $conditions )) {


			$join = array ();


			foreach ( $conditions as $key => $condition ) {


				$condition = $this->escape ( $condition );


				$join [] = "{$key} = {$condition}";


			}


			$where = "WHERE " . join ( " AND ", $join );


		} else {


			if (null != $conditions)


				$where = "WHERE " . $conditions;


		}


		$sql = "SELECT COUNT(*) AS ts_counter FROM " . dbprefix . "{$table} {$where}";


		$result = $this->db->once_fetch_assoc ( $sql );


		


		return $result ['ts_counter'];


	}

但是key是未过滤的。过滤了value

所以这里function t 过滤了单引号也没什么了因为可以在key那里注入。

但是过滤了注释后面这样就行了

objid=123&objname=article&idname=123 union select email from ts_user limit 1,1;a&tags=idname

即可注入。可以盲注、延时。

漏洞证明：

嗯可以执行了。

修复方案：

但是 xfkxfk 爆的那个漏洞文件后发布新版本后你们做了过滤

但是过滤得不好, 会add_ajax 比好绕过。

为了避免和xfkxfk 爆的漏洞文件一样所以我换了个文件。

加强过滤。

版权声明：转载请注明来源 ′雨。@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：5

确认时间：2014-02-04 15:34

厂商回复：

感谢支持，已经做了修复。

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2014-05-04 18:01 | 黑色的屌丝 ( 实习白帽子 | Rank:39 漏洞数:6 | →_→→_→)
0

洞主。这个objid=123&objname=article&idname=123 union select email from ts_user limit 1,1;a&tags=idname 中的 idname=123 union select email from ts_user limit 1,1;a这个注入代码是在value之中。为什么会绕过呢？？

1# 回复此人
2014-05-22 14:07 | ′ 雨。 ( 普通白帽子 | Rank:1332 漏洞数:196 | Only Code Never Lie To Me.)
0

原谅我一开始基础差 mysql query 不支持分号别被我误导了用其他的注释就行。

2# 回复此人
2014-05-22 14:09 | ′ 雨。 ( 普通白帽子 | Rank:1332 漏洞数:196 | Only Code Never Lie To Me.)
0

@黑色的屌丝不是key么

3# 回复此人
2014-05-22 19:36 | 黑色的屌丝 ( 实习白帽子 | Rank:39 漏洞数:6 | →_→→_→)
0

@′ 雨。前面没看仔细$tagIndexCount = $this->findCount('tag_'.$objname.'_index',array( $idname=>$objid, 然后 $join [] = "{$key} = {$condition}"; 进入了SQL? 'tagid'=>$tagid, )); 这里成了key

4# 回复此人
2014-07-17 15:03 | 小贱人 ( 路人 | Rank:4 漏洞数:3 | 资深菜鸟，)
0

代码审计大大的

5# 回复此人
2014-10-07 21:46 | PythonPig ( 普通白帽子 | Rank:514 漏洞数:45 | 只会简单工具的小小菜)
0

@′ 雨。请教审计大牛查看mysql执行日志的工具是什么啊？我直接用文本方式打开格式让我很蛋碎~~

6# 回复此人
2014-10-07 22:00 | ′ 雨。 ( 普通白帽子 | Rank:1332 漏洞数:196 | Only Code Never Lie To Me.)
0

@PythonPig 好像用的seay吧，

7# 回复此人
2014-10-07 22:54 | PythonPig ( 普通白帽子 | Rank:514 漏洞数:45 | 只会简单工具的小小菜)
0

@′ 雨。是的，thx

8# 回复此人
2014-11-08 11:19 | 老和尚 ( 普通白帽子 | Rank:223 漏洞数:37 )
0

注册乌云仅227天。rank就1027。奖金有百万了吧

9# 回复此人
2015-01-11 13:52 | 刘海哥 ( 普通白帽子 | Rank:135 漏洞数:28 | 索要联系方式但不送礼物的厂商定义为无良厂...)
1

表示从雨哥第一个漏洞膜拜起！

10# 回复此人
2015-01-11 14:57 | ′雨。 ( 普通白帽子 | Rank:1332 漏洞数:196 | Only Code Never Lie To Me.)
1

@刘海哥无视前面的把。。太傻逼了。

11# 回复此人
2015-01-11 15:46 | 刘海哥 ( 普通白帽子 | Rank:135 漏洞数:28 | 索要联系方式但不送礼物的厂商定义为无良厂...)
1

@′雨。我要从太傻逼学起。。。

12# 回复此人
2015-01-28 00:10 | onpu ( 普通白帽子 | Rank:354 漏洞数:51 | 不轻诺故我不负人不信诺故人不负我)
0

果然厉害。。

13# 回复此人
2015-01-28 16:09 | 乐乐、 ( 普通白帽子 | Rank:868 漏洞数:132 )
0

膜拜第一个洞

14# 回复此人
2015-10-09 22:03 | 秦风 ( 实习白帽子 | Rank:40 漏洞数:7 | 血染江山的画怎敌妳眉间一点朱砂覆...)
0

膜拜第一个洞

15# 回复此人

登录后才能发表评论，请先登录。

WooYun.org

漏洞概要关注数(10) 关注此漏洞

缺陷编号： WooYun-2014-50236

漏洞标题： Thinksaas某处绕过过滤的注射漏洞

相关厂商： thinksaas.cn

漏洞作者： ′雨。

提交时间： 2014-02-03 17:14

公开时间： 2014-05-04 17:14

漏洞类型： SQL注射漏洞

危害等级：高

自评Rank： 20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 help@wooyun.org

Tags标签：无

1人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 ′雨。@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价):

登陆后才能进行评分

评价

WooYun.org

漏洞概要 关注数(10) 关注此漏洞

缺陷编号： WooYun-2014-50236

漏洞标题： Thinksaas某处绕过过滤的注射漏洞

相关厂商： thinksaas.cn

漏洞作者： ′雨。

提交时间： 2014-02-03 17:14

公开时间： 2014-05-04 17:14

漏洞类型： SQL注射漏洞

危害等级： 高

自评Rank： 20

漏洞状态： 厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 help@wooyun.org

Tags标签： 无

1人收藏 收藏 var token=""; var id="50236"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 ′雨。@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

漏洞概要关注数(10) 关注此漏洞

危害等级：高

漏洞状态：厂商已经确认

Tags标签：无

1人收藏收藏
分享漏洞：

漏洞评价(共0人评价):

登陆后才能进行评分