当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-079143

漏洞标题:ThinkSNS SQL注射一枚(无视WAF)

相关厂商:ThinkSNS

漏洞作者: phith0n

提交时间:2014-10-13 10:32

修复时间:2015-01-11 10:34

公开时间:2015-01-11 10:34

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-10-13: 细节已通知厂商并且等待厂商处理中
2014-10-13: 厂商已经确认,细节仅向厂商公开
2014-10-16: 细节向第三方安全合作伙伴开放
2014-12-07: 细节向核心白帽子及相关领域专家公开
2014-12-17: 细节向普通白帽子公开
2014-12-27: 细节向实习白帽子公开
2015-01-11: 细节向公众公开

简要描述:

开发时候发现的。

详细说明:

apps/page/Lib/Action/DiyAction.class.php 192行:

public function doCopyTemplate() {
		$id = intval ( $_POST ['id'] );
		$page = $_POST ['page'];
		$channel = $_POST ['channel'];
		$databaseData = D ( 'Page' )->getPageInfo ( $page, $channel );
		$result = $this->checkRole ( $databaseData ['manager'], $databaseData );
		if ($result ['admin']) {
			echo D ( 'pageTemplate' )->saveCopyAction ( $id, $this->mid, $page, $channel );
		} else {
			echo - 1;
		}
	}


取到$_POST['channel']传入getPageInfo函数。我们看看这个函数:

/**
	 * 返回页面详细信息
	 * @param unknown_type $id
	 * @param unknown_type $field
	 * @return unknown
	 */
	public function getPageInfo( $map , $field = 'id,page_name,domain,canvas,manager,status,guest,seo_title,seo_keywords,seo_description'){
		$data = $this->where($map)->field($field)->find();
		return $data;
	}


光看默认值就知道,第二个参数是字段名,甚至不用考虑addslashes。
我们来试试,登录后发送如下数据包:

02.jpg


看看mysql执行了什么语句:

01.jpg


图中可以看到,我们可控的部分很多,从select 后面所有内容我们都可控。没有敏感词select,所以无视WAF。
同样的方法在这个文件中还有多处,我就不一一指出。

漏洞证明:

来构造一个盲注。看到代码:

$databaseData = D ( 'Page' )->getPageInfo ( $page, $channel );
		$result = $this->checkRole ( $databaseData ['manager'], $databaseData );


$databaseData ['manager']传入了checkRole函数,进去看看:

private function checkRole($user, $pageInfo) {
		$admin = false;
		$openDiy = false;
		$userModel = model ( 'UserGroup' );
		$user = explode( ',' , $user);
		if (in_array ( $this->mid, $user ) || $userModel->isAdmin ( $this->mid )) {
			$admin = true;
		} else {
			$this->error( '您没有管理权限!' );
		}
		if (isset ( $_GET ['diy'] ) && $pageInfo ['pageType'] != 'list') {
			$openDiy = true;
		}
		$this->assign ( 'openDiy', $openDiy );
		$this->assign ( 'admin', $admin );
		$result ['admin'] = $admin;
		$result ['openDiy'] = $openDiy;
		return $result;
	}


如果$this->mid(就是你的uid)在$user中,则通过,否则显示“您没有管理权限”。
所以,通过是否显示“您没有管理权限”,可以来盲注。
我的$this->mid为2。>113显示“找不到方法”:

03.jpg


>114显示“您没有管理员权限”:

04.jpg


同理,注入用户密码只要改user()为password即可。

修复方案:

不知道。

版权声明:转载请注明来源 phith0n@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-10-13 14:14

厂商回复:

非常感谢!理论上首先要得到管理员权限。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-10-13 10:40 | Noxxx ( 普通白帽子 | Rank:509 漏洞数:41 )

    1楼

  2. 2014-10-13 10:47 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    2楼

  3. 2014-10-13 10:55 | pandas ( 普通白帽子 | Rank:585 漏洞数:58 | 国家一级保护动物)

    锟斤拷烫烫烫

  4. 2014-10-13 10:56 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    开发时候发现的。。。

  5. 2014-10-13 11:44 | Sunshie ( 实习白帽子 | Rank:58 漏洞数:10 | http://phpinfo.me)

    66666

  6. 2014-10-13 13:14 | error ( 普通白帽子 | Rank:415 漏洞数:96 )

    莫非又是t函数

  7. 2014-10-13 14:27 | phith0n 认证白帽子 ( 核心白帽子 | Rank:656 漏洞数:107 | 一个想当文人的黑客~)

    @ThinkSNS 这个注入并不需要管理员权限!我的mid=2并不是管理员,厂商你再看看,试试就知道了~

  8. 2014-10-13 14:52 | 紫霞仙子 ( 普通白帽子 | Rank:2027 漏洞数:279 | 天天向上 !!!)

    非常感谢!实践上首先要得到管理员权限。

  9. 2014-10-13 15:08 | 残废 ( 普通白帽子 | Rank:179 漏洞数:40 | 我是残废,啦啦啦啦)

    ph牛吊炸天