大米CMS设计缺陷导致CSRF脱裤 | wooyun-2014-081564| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-081564

漏洞标题：大米CMS设计缺陷导致CSRF脱裤

漏洞作者： xfkxfk

提交时间：2014-11-03 14:38

修复时间：2014-12-30 14:44

公开时间：2014-12-30 14:44

漏洞类型：设计缺陷/逻辑错误

危害等级：低

自评Rank：5

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-11-03：细节已通知厂商并且等待厂商处理中
2014-11-08：厂商主动忽略漏洞，细节向第三方安全合作伙伴开放
2015-01-02：细节向核心白帽子及相关领域专家公开
2015-01-12：细节向普通白帽子公开
2015-01-22：细节向实习白帽子公开
2014-12-30：细节向公众公开

简要描述：

大米CMS设计缺陷导致CSRF脱裤

详细说明：

其实大米cms全局都没有设置CSRF防御......
文件/Admin/Lib/Action/BackupAction.class.php

public function dobackup()
	{
		if(empty($_POST['ids']))
		{
			$this->error('请选择需要备份的数据库表！');
		}
		$filesize = intval($_POST['filesize']);
		if ($filesize < 512) 
		{
			$this->error('出错了,请为分卷大小设置一个大于512的整数值！');
		}
		$file ='./Public/Backup/';
		$random = mt_rand(1000, 9999);
		$sql = ''; 
		$p = 1;
		foreach($_POST['ids'] as $table)
		{
			$rs = new Model($table,'',false);
			$array = $rs->select();
			$sql.= "TRUNCATE TABLE `$table`;\n";
			foreach($array as $value)
			{
				$sql.= $this->insertsql($table, $value);
				if (strlen($sql) >= $filesize*1000) 
				{
					$filename = $file.date('Ymd').'_'.$random.'_'.$p.'.sql';
					write_file($filename,$sql);
					$p++;
					$sql='';
				}
			}
		}
		if(!empty($sql))
		{
			$filename = $file.date('Ymd').'_'.$random.'_'.$p.'.sql';
			write_file($filename,$sql);
		}
		$this->assign("jumpUrl",U("Backup/restore"));
		$this->success('数据库分卷备份已完成,共分成'.$p.'个sql文件存放！');
	}
	//生成SQL备份语句
	public function insertsql($table, $row)
	{
		$sql = "INSERT INTO `{$table}` VALUES ("; 
		$values = array(); 
		foreach ($row as $value) 
		{
			$values[] = "'" . mysql_real_escape_string($value) . "'"; 
		}
		$sql .= implode(', ', $values) . ");\n"; 
		return $sql;
	}

备份数据库时没有任何CSRF防御
结合前面的XSS即可达到备份数据库的目的
数据备份的目录为：$file ='./Public/Backup/';
备份文件名为：$filename = $file.date('Ymd').'_'.$random.'_'.$p.'.sql';
$random = mt_rand(1000, 9999);
生成的备份文件名例如：20141031_4683_1.sql
1、通过爆破即可简单获取备份文件名
2、利用window短文件名123456~1.sql即可

漏洞证明：

http://localhost/dami/public/backup/20141031_4683_1.sql

或者

http://localhost/dami/public/backup/201410~1.sql

修复方案：

20141031_4683_1.sql改为20141031_4683_1.php即可

版权声明：转载请注明来源 xfkxfk@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-12-30 14:44

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-081564

漏洞标题：大米CMS设计缺陷导致CSRF脱裤

相关厂商：damicms.com

漏洞作者： xfkxfk

提交时间：2014-11-03 14:38

修复时间：2014-12-30 14:44

公开时间：2014-12-30 14:44

漏洞类型：设计缺陷/逻辑错误

危害等级：低

自评Rank：5

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 xfkxfk@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-081564

漏洞标题：大米CMS设计缺陷导致CSRF脱裤

相关厂商：damicms.com

漏洞作者： xfkxfk

提交时间：2014-11-03 14:38

修复时间：2014-12-30 14:44

公开时间：2014-12-30 14:44

漏洞类型：设计缺陷/逻辑错误

危害等级：低

自评Rank：5

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-081564"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 xfkxfk@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：