当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-068941

漏洞标题:74cms (20140709) 任意文件读取 & 注入漏洞

相关厂商:74c,s.com

漏洞作者: ′雨。

提交时间:2014-07-18 13:35

修复时间:2014-10-16 13:36

公开时间:2014-10-16 13:36

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-07-18: 细节已通知厂商并且等待厂商处理中
2014-07-23: 厂商已经确认,细节仅向厂商公开
2014-07-26: 细节向第三方安全合作伙伴开放
2014-09-16: 细节向核心白帽子及相关领域专家公开
2014-09-26: 细节向普通白帽子公开
2014-10-06: 细节向实习白帽子公开
2014-10-16: 细节向公众公开

简要描述:

20140709.

详细说明:

20140709的74cms
在plus/weixin.php中 因为默认的这个文件都会checkSignature 来检测token
但是来看看74cms的 根本就不需要token。

$wechatObj = new wechatCallbackapiTest($dbhost,$dbuser,$dbpass,$dbname);
if(isset($_REQUEST['echostr']))
$wechatObj->valid();
elseif(isset($_REQUEST['signature']))
{
$wechatObj->responseMsg();
}


来看看valid

public function valid()
{
$echoStr = $_GET["echostr"];
if($this->checkSignature())
{
exit($echoStr);
}
}

check了。

elseif(isset($_REQUEST['signature']))
{
$wechatObj->responseMsg();


可是在这里 如果设置了这个 就直接进入了。所以 完全没验证token。。。

public function responseMsg()
{
$postStr = $GLOBALS["HTTP_RAW_POST_DATA"];

if (!empty($postStr))
{

$postObj = simplexml_load_string($postStr, 'SimpleXMLElement', LIBXML_NOCDATA);

$fromUsername = $postObj->FromUserName;
$toUsername = $postObj->ToUserName;
$keyword = trim($postObj->Content);
$keyword = iconv("utf-8","gb2312",$keyword);
$time = time();
$event = trim($postObj->Event);

if ($event === "subscribe")
{
$word= "回复j返回紧急招聘,回复n返回最新招聘!您可以尝试输入职位名称如“会计”,系统将会返回您要找的信息,我们努力打造最人性化的服务平台,谢谢关注。";
$text="<xml>
<ToUserName><![CDATA[".$fromUsername."]]></ToUserName>
<FromUserName><![CDATA[".$toUsername."]]></FromUserName>
<CreateTime>".$time."</CreateTime>
<MsgType><![CDATA[text]]></MsgType>
<Content><![CDATA[".$word."]]></Content>
</xml> ";
exit($text);
}


0x01 任意文件读取 (这个无视接口是否开启)
因为在解析xml的时候是在判断接口是否开启之前 所以就算没开启也能读取。

$postObj = simplexml_load_string($postStr, 'SimpleXMLElement', LIBXML_NOCDATA);

$fromUsername = $postObj->FromUserName;
$toUsername = $postObj->ToUserName;
$keyword = trim($postObj->Content);
$keyword = iconv("utf-8","gb2312",$keyword);


在这里解析了传递过来的xml

if ($event === "subscribe")
{
$word= "回复j返回紧急招聘,回复n返回最新招聘!您可以尝试输入职位名称如“会计”,系统将会返回您要找的信息,我们努力打造最人性化的服务平台,谢谢关注。";
$text="<xml>
<ToUserName><![CDATA[".$fromUsername."]]></ToUserName>
<FromUserName><![CDATA[".$toUsername."]]></FromUserName>
<CreateTime>".$time."</CreateTime>
<MsgType><![CDATA[text]]></MsgType>
<Content><![CDATA[".$word."]]></Content>
</xml> ";
exit($text);
}
if (!empty($keyword))
{

if($_CFG['sina_apiopen']=='0')
{
$word="网站微信接口已经关闭";
$text="<xml>
<ToUserName><![CDATA[".$fromUsername."]]></ToUserName>
<FromUserName><![CDATA[".$toUsername."]]></FromUserName>
<CreateTime>".$time."</CreateTime>
<MsgType><![CDATA[text]]></MsgType>
<Content><![CDATA[".$word."]]></Content>
</xml> ";
exit($text);


解析过后 这里exit($text); 退出的时候会把内容输出过来。 所以。
构造一个xml 就能读取任意文件了。

7.jpg


_______________________________________________________________________________
上面那个任意文件读取不需要开启接口, 下面这个注入就需要开启接口了。
0x02 注入

if($_CFG['sina_apiopen']=='0')
{
$word="网站微信接口已经关闭";
$text="<xml>
<ToUserName><![CDATA[".$fromUsername."]]></ToUserName>
<FromUserName><![CDATA[".$toUsername."]]></FromUserName>
<CreateTime>".$time."</CreateTime>
<MsgType><![CDATA[text]]></MsgType>
<Content><![CDATA[".$word."]]></Content>
</xml> ";
exit($text);
}

$limit=" LIMIT 6";
$orderbysql=" ORDER BY refreshtime DESC";
if($keyword=="n")
{
$jobstable=table('jobs_search_rtime');
}
else if($keyword=="j")
{
$jobstable=table('jobs_search_rtime');
$wheresql=" where `emergency`=1 ";
}
else
{
$jobstable=table('jobs_search_key');
$wheresql.=" where likekey LIKE '%{$keyword}%' ";
}
$word='';
$list = $id = array();
$idresult = $this->query("SELECT id FROM {$jobstable} ".$wheresql.$orderbysql.$limit);
while($row = $this->fetch_array($idresult))


($_CFG['sina_apiopen']=='0' 在这里由于判断了接口是否开启 关闭了则退出
所以注入的话得开启才行,
在这里 $wheresql.=" where likekey LIKE '%{$keyword}%' ";
来看看$keyword哪里来的。

$keyword = trim($postObj->Content);
$keyword = iconv("utf-8","gb2312",$keyword);


可以看到是解析后来的
$postStr = $GLOBALS["HTTP_RAW_POST_DATA"];
$GLOBALS["HTTP_RAW_POST_DATA"]这个是不会被74cms的addslashes转义的
所以造成了注入。、

8.jpg


漏洞证明:

7.jpg


8.jpg

修复方案:

首先 你这个检测函数根本都没用到。 所以造成了这些问题。
用一下检测函数, 然后 随机生成一下token 或者 判断一下是否初始化了token
如果未初始化就exit

版权声明:转载请注明来源 ′雨。@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-07-23 11:22

厂商回复:

感谢反馈

最新状态:

暂无


漏洞评价:

评论

  1. 2014-07-18 13:36 | Hero ( 普通白帽子 | Rank:116 漏洞数:31 | 药药切克闹,充气娃娃迷幻药)

    你关注的白帽子 ′ 雨。 发表了漏洞 74cms (20140709) 任意文件读取 & 注入。

  2. 2014-07-18 14:20 | phith0n 认证白帽子 ( 核心白帽子 | Rank:656 漏洞数:107 | 一个想当文人的黑客~)

    xml实体?我一直在想没时间

  3. 2014-07-18 15:02 | mramydnei ( 普通白帽子 | Rank:348 漏洞数:80 )

    雨牛 74cms是不是好不了了?

  4. 2014-07-18 15:06 | ′ 雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

    @mramydnei 老师快来 继续下去。

  5. 2014-07-18 15:06 | ′ 雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

    @phith0n 嗯