漏洞概要
关注数(24)
关注此漏洞
漏洞标题:TCCMS全版本COOKIE注入(已演示证明)
提交时间:2013-11-01 11:06
修复时间:2014-01-30 11:07
公开时间:2014-01-30 11:07
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2013-11-01: 细节已通知厂商并且等待厂商处理中
2013-11-01: 厂商已经确认,细节仅向厂商公开
2013-11-04: 细节向第三方安全合作伙伴开放
2013-12-26: 细节向核心白帽子及相关领域专家公开
2014-01-05: 细节向普通白帽子公开
2014-01-15: 细节向实习白帽子公开
2014-01-30: 细节向公众公开
简要描述:
TCCMS teamcen.com Cookie Injection
具体请见详细说明
证明处使用SQLMAP注射成功
详细说明:
/public/Class/Authen.class.php
省略无关代码
请注意添加注释处代码,下同
那么我们要定位漏洞代码的触发位置
/core/controller/user.class.php
攻击向量:
update()-------------》Authen::checkIsSelfData-------》checkUserLogin()
缺陷参数:userID
即:在更新个人信息时可以直接将cookie中的userID带入数据库查询,形成注射
下面是利用SQLMAP的证明
漏洞证明:
演示的站点为 lszq.xinwen110.cn
理事会员-中国社会新闻网理事会员-中国社会新闻网 - Power By TCCMS
本机测试时的命令
跑了下数据库,证明即可
注意,请在复现漏洞时将COOKIE换为对应的有效COOKIE(可以注册一个)
修复方案:
checkUserLogin() 严格过滤userID
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:10
确认时间:2013-11-01 13:20
厂商回复:
感谢乌云感谢lxj616对TCCMS开源产品的检测,已经进行了修复。
CODE:
/public/Class/Authen.class.php、
checkUserLogin();
intval($_COOKIE['userId']);
最新状态:
暂无
漏洞评价:
评论
-
2015-07-03 22:40 |
0c0c0f ( 实习白帽子 | Rank:48 漏洞数:15 | My H34rt c4n 3xploit 4ny h0les!)
@sxj616 请问cookie里面的userId sqlmap怎么不会测试bool 形式 盲注?我用sqlmap没跑出来
-
2015-07-04 08:46 |
lxj616 ( 普通白帽子 | Rank:438 漏洞数:90 | <hohoho>)
@0c0c0f 1.cookie要换成你自己的cookie,不要用我自己的cookie(已经失效)2.目前该漏洞已经修补,如果你只是复制粘贴我的sqlmap语句,应该是不行的,需要找到老版本TCCMS源代码测试
-
2015-07-04 10:11 |
0c0c0f ( 实习白帽子 | Rank:48 漏洞数:15 | My H34rt c4n 3xploit 4ny h0les!)
@lxj616 我修改了代码进行的测试,cookie也是最新的。