当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(2) 关注此漏洞

缺陷编号: WooYun-2014-60133

漏洞标题: ThinkSNS水平权限问题

相关厂商: ThinkSNS

漏洞作者: Ano_Tom认证白帽子

提交时间: 2014-05-10 10:03

公开时间: 2014-08-05 10:04

漏洞类型: 设计缺陷/逻辑错误

危害等级: 中

自评Rank: 10

漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

1人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-05-10: 细节已通知厂商并且等待厂商处理中
2014-05-15: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2014-07-09: 细节向核心白帽子及相关领域专家公开
2014-07-19: 细节向普通白帽子公开
2014-07-29: 细节向实习白帽子公开
2014-08-05: 细节向公众公开

简要描述:

ThinkSNS某处存在水平权限问题,未对用户的操作进行权限认证,导致越权访问,删除任意用户信息

详细说明:

看过之前乌云白帽子发的关于水平权限的问题,貌似很多。重新看了下,好多都没修复。发个没有重复的。测试版本:4.18号官网下载的版本。

漏洞文件:/thinksns/apps/weba/Lib/Action/GroupAction.class.php

说明,index文件应该是group文件的完善更新版?

代码:

code 区域
/**


     * 执行编辑帖子


     * @return void


     */


    //水平权限缺陷02


    public function doPostEdit(){


        // echo 2;die;


        $checkContent = str_replace(' ', '', $_POST['content']);


        $checkContent = str_replace('<br />', '', $checkContent);


        $checkContent = str_replace('<p>', '', $checkContent);


        $checkContent = str_replace('</p>', '', $checkContent);


        $checkContents = preg_replace('/<img(.*?)src=/i','img',$checkContent);


        $checkContents = preg_replace('/<embed(.*?)src=/i','img',$checkContents);


        if(strlen(t($_POST['title']))==0) $this->error('帖子标题不能为空');


        if(strlen(t($checkContents))==0) $this->error('帖子内容不能为空');


        preg_match_all('/./us', t($_POST['title']), $match);  


        if(count($match[0])>30){     //汉字和字母都为一个字


            $this->error('帖子标题不能超过30个字');


        } 


        $post_id = intval($_POST['post_id']);


        $data['title'] = t($_POST['title']);


        $data['content'] = h($_POST['content']);


        $res = D('weiba_post')->where('post_id='.$post_id)->save($data);//直接提交post_id即可编辑任意帖子,未进行权限认证


        if($res!==false){


            $post_detail = D('weiba_post')->where('post_id='.$post_id)->find();


            if(intval($_POST['log'])==1){


                D('log')->writeLog($post_detail['weiba_id'],$this->mid,'编辑了帖子“<a href="'.U('weiba/Index/postDetail',array('post_id'=>$post_id)).'" target="_blank">'.$post_detail['title'].'</a>”','posts');


            }


            //同步到微博


            $feedInfo = D('feed_data')->where('feed_id='.$post_detail['feed_id'])->find();


            $datas = unserialize($feedInfo['feed_data']);


            $datas['content'] = '【'.$data['title'].'】'.getShort(t($checkContent),100).' ';


            $datas['body'] = $datas['content'];


            $data1['feed_data'] = serialize($datas);


            $data1['feed_content'] = $datas['content'];


            $feed_id = D('feed_data')->where('feed_id='.$post_detail['feed_id'])->save($data1);


            model('Cache')->rm('fd_'.$post_detail['feed_id']);


            return $this->ajaxReturn($post_id, '编辑成功', 1);


        }else{


            $this->error('编辑失败');


        }


    }



其中doPostEdit操作未对权限认证,导致可以修改微吧里的任意帖子

起始状态如下

4a32db82-5beb-4b4d-92bc-ec3dcf2724bc.png



数据库信息为

3d360691-fab6-4f95-831a-44b176454bcf.png



post_id=5内容为test02的,post_id=4内容为test01的

test02修改自己的帖子,拦截post请求如下

463f10fa-81bd-48ee-8954-893cd81568b6.png



修改test01的帖子,即post_id=4如图

212c021c-3c89-4168-b6f8-e1d687573743.png



结果为

2cdb4753-10a7-4b22-ba02-052d1c9c83fa.png



同时有删除任意帖子的漏洞(白帽之前提交的未修复,http://**.**.**.**/bugs/wooyun-2014-050671)

代码:

code 区域
/**


     * 删除帖子


     * @return void


     */


    public function postDel(){


         $post_id = intval($_POST['post_id']);//修复了注入问题


        // 水平权限缺陷01


        


        if(D('weiba_post')->where('post_id='.$post_id)->setField('is_del',1)){


            if(intval($_POST['log'])==1){


                $post_detail = D('weiba_post')->where('post_id='.$post_id)->find();


                D('log')->writeLog($post_detail['weiba_id'],$this->mid,'删除了帖子“'.$post_detail['title'].'”','posts');


            }


            D('weiba')->where('weiba_id='.intval($_POST['weiba_id']))->setDec('thread_count');


            echo 1;


        }


    }



初始状态:

4d3a04d0-61bf-4eb9-99c3-b2cafbcf40fd.png



越权删除test01的帖子

7b26c96c-b689-4b6a-98fc-a715904f6f87.png



结果为

5972993a-9f53-420a-9a91-01d0ebcab7b5.png

漏洞证明:

如上详细描述。

同时/thinksns/apps/weba/Lib/Action/LogAction.class.php文件中多处,也未修复(之前白帽白帽提交的http://**.**.**.**/bugs/wooyun-2014-049172)。

修复方案:

分清楚用户有哪些action,在执行该私有的action时,是否进行了check permission:)

版权声明:转载请注明来源 Ano_Tom@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-08-05 10:04

厂商回复:

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2014-05-10 12:30 | BadCat ( 实习白帽子 | Rank:81 漏洞数:21 | 悲剧的我什么都不会)
    2

    话说ThinkSNS貌似很久都没有更新了...............

    1# 回复此人
  2. 2014-05-10 12:42 | Ano_Tom 认证白帽子 ( 普通白帽子 | Rank:474 漏洞数:47 | Talk is cheap.:)
    0

    @BadCat 官网是显示的是2013年的,其实很多漏洞都修复了的:)@thinksns厂商

    2# 回复此人
  3. 2014-05-10 22:43 | BadCat ( 实习白帽子 | Rank:81 漏洞数:21 | 悲剧的我什么都不会)
    0

    @Ano_Tom 是很多漏洞修复了,但是貌似有些GETSHELL漏洞之类的还没修复

    3# 回复此人
  4. 2014-05-10 22:44 | BadCat ( 实习白帽子 | Rank:81 漏洞数:21 | 悲剧的我什么都不会)
    0

    但是官方那边是修复了,官方的其他水平权限问题未修复

    4# 回复此人

登录后才能发表评论,请先 登录