当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(14) 关注此漏洞

缺陷编号: WooYun-2014-64348

漏洞标题: PHPYUN最新版多处SQL注入及越权操作二

相关厂商: php云人才系统

漏洞作者: xfkxfk认证白帽子

提交时间: 2014-06-10 16:17

公开时间: 2014-09-08 16:18

漏洞类型: SQL注射漏洞

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 第三方不可信程序 安全意识不足 php源码审核 php源码分析 白盒测试 安全意识不足

0人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-06-10: 细节已通知厂商并且等待厂商处理中
2014-06-10: 厂商已经确认,细节仅向厂商公开
2014-06-13: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2014-08-04: 细节向核心白帽子及相关领域专家公开
2014-08-14: 细节向普通白帽子公开
2014-08-24: 细节向实习白帽子公开
2014-09-08: 细节向公众公开

简要描述:

PHPYUN最新版(phpyun_v3.1.0604_gbk)多处SQL注入及越权操作
虽然PHPYUN在注入防御上已经做得很不错了,方的很严格,像吃掉引号,宽字节的基本上很少了,但是不需要跟引号斗争的地方还有很多,得好好检查,好好修复了!!!
这里再来三处SQL注入及越权操作!!!

详细说明:

文件/member/model/com.class.php

第一处SQL注入、越权修改企业环境展示信息:

code 区域
function saveshow_action(){


		if($_POST['submitbtn']){


			$pid=@implode(',',$_POST['id']);


			$company_show=$this->obj->DB_select_all("company_show","`id` in (".$pid.") and `uid`='".$this->uid."'","`id`");


			if($company_show&&is_array($company_show)){


				foreach($company_show as $val){


					$title=$_POST['title_'.$val['id']];


					$this->obj->update_once("company_show",array("title"=>trim($title)),array("id"=>(int)$val['id']));


				}


				$this->obj->ACT_layer_msg("修改成功!",9,"index.php?c=show");


			}else{


				$this->obj->ACT_layer_msg("非法操作!",3,"index.php");


			}


		}else{


			$this->obj->ACT_msg("index.php","非法操作!");


		}


	}



这里的$pid=@implode(',',$_POST['id']);

没有经过引号保护,直接进入DB_select_all,在DB_select_all中也未进行处理:

code 区域
function DB_select_all($tablename, $where = 1, $select = "*") {


		$cachename=$tablename.$where;


		if(!$row_return=$this->Memcache_set($cachename)){


			$row_return=array();


			$SQL = "SELECT $select FROM `" . $this->def . $tablename . "` WHERE $where";


			$query=$this->db->query($SQL);


			 while($row=$this->db->fetch_array($query)){$row_return[]=$row;}


		 	$this->Memcache_set($cachename,$row_return);


		}


		 return $row_return;


	}



导致存在SQL注入。



第二处SQL注入、越权删除企业新闻

code 区域
function news_action(){


		$this->public_action();


		$where='';


		if($_POST['delid'] || $_GET['delid'])


		{


	    	if($_POST['delid'] || $_GET['delid'])


	    	{


	    		if(is_array($_POST['delid']))


	    		{


	    			$delid=@implode(",",$_POST['delid']);


					$layer_type='1';


		    	}else{


		    		$delid=$_GET['delid'];


					$layer_type='0';


		    	}


				$oid=$this->obj->DB_delete_all("company_news","`id` in (".$delid.") and `uid`='".$this->uid."'","");


				$oid?$this->layer_msg('删除成功!',9,$layer_type):$this->layer_msg('删除失败!',8,$layer_type);


	    	}else{


 	    		$this->obj->ACT_layer_msg("请选择您要删除的新闻!",8,$_SERVER['HTTP_REFERER']);


	    	}


	    }



这里的$delid=$_GET['delid'];

没有经过引号保护,直接进入了DB_delete_all中

code 区域
function DB_delete_all($tablename, $where, $limit = 'limit 1'){


	 	$SQL = "DELETE FROM `" . $this->def . $tablename . "` WHERE $where $limit";


		$this->db->query("set `sql_mode`=''");


		return $this->db->query($SQL);


	}



导致SQL注入。

又由于,通过截断,修改后面的uid,就可以导致越权操作,删除任意企业用户的企业新闻。



第三处SQL注入、越权删除任意企业用户产品

code 区域
function product_action()


	{


		$this->public_action();


		$delid=$_GET['delid'];


		if($delid){


			if(is_array($delid)){


				$ids=implode(',',$delid);


				$layer_type=1;


			}else{


				$ids=$delid;


				$layer_type=0;


			}


			$row=$this->obj->DB_select_all("company_product","`id` in (".$ids.") and `uid`='".$this->uid."'","`pic`");


			if(is_array($row)){


				foreach($row as $k=>$v){


					$this->obj->unlink_pic("..".$v['pic']);


				}


			}


			$oid=$this->obj->DB_delete_all("company_product","`id` in (".$ids.") and `uid`='".$this->uid."'","");


			$oid?$this->layer_msg('删除成功!',9,$layer_type,$_SERVER['HTTP_REFERER']):$this->layer_msg('删除失败!',8,$layer_type,$_SERVER['HTTP_REFERER']);


		}



这里的$delid=$_GET['delid'];$ids=$delid;

$ids没有经过引号保护,直接进入SQL语句,导致SQL注入

由于通过截断,修改后面的uid,就可以导致越权操作,删除任意企业用户的企业产品。

漏洞证明:

拿第一处SQL注入、越权修改企业环境展示信息为例:

从代码可以看出,当查询失败时,会返回“非法操作!”:

1.png



当查询正常时,会返回“修改成功!”:

2.png



4.png



这里可以看出user()的第一个字符就是r

依次遍历char的值,得到user()=root



其他几处SQL注入漏洞证明验证过程方法见漏洞:

http://**.**.**.**/bugs/wooyun-2010-064323

修复方案:

过滤,引号保护。

版权声明:转载请注明来源 xfkxfk@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2014-06-10 16:46

厂商回复:

感谢支持,我们会不断完善,同膜拜!

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2014-06-10 16:31 | 索马里的海贼 ( 普通白帽子 | Rank:264 漏洞数:25 | http://tieba.baidu.com/f?kw=WOW)
    0

    膜拜。。。

    1# 回复此人
  2. 2014-06-10 16:37 | HackBraid 认证白帽子 ( 普通白帽子 | Rank:1854 漏洞数:296 | 风暴网络安全空间: http://www.heysec.or...)
    0

    跪了

    2# 回复此人
  3. 2014-06-10 17:43 | ′ 雨。 认证白帽子 ( 普通白帽子 | Rank:1332 漏洞数:198 | Only Code Never Lie To Me.)
    0

    跪了。。

    3# 回复此人
  4. 2014-06-13 19:38 | D_in ( 普通白帽子 | Rank:423 漏洞数:65 | 到我嘴里来)
    0

    膜拜。。

    4# 回复此人
  5. 2014-06-29 12:48 | Hero ( 普通白帽子 | Rank:145 漏洞数:43 | 药药切克闹,充气娃娃迷幻药)
    0

    跪了

    5# 回复此人

登录后才能发表评论,请先 登录