ROCBOSS微社区V1.1某处平行权限 | wooyun-2014-087071| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-087071

漏洞标题：ROCBOSS微社区V1.1某处平行权限

漏洞作者： bey0nd

提交时间：2014-12-16 11:57

修复时间：2015-03-16 11:58

公开时间：2015-03-16 11:58

漏洞类型：设计不当

危害等级：高

自评Rank：20

漏洞状态：厂商已经修复

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-12-16：细节已通知厂商并且等待厂商处理中
2014-12-16：厂商已经确认，细节仅向厂商公开
2015-02-09：细节向核心白帽子及相关领域专家公开
2015-02-19：细节向普通白帽子公开
2015-03-01：细节向实习白帽子公开
2015-03-16：厂商已经修复漏洞并主动公开，细节向公众公开

简要描述：

最近也在自己写bbs，借鉴了一下ROCBOSS的风格，比较不错哦

详细说明：

在帖子编辑的地方存在越权操作
具体分析如下
#1.首先看编辑帖子所请求的代码。
rocboss\module\index.module.class.php

public function createNewTopic()
    {
        $this->checkPrivate(TRUE);
        if (isset($_POST['cid'], $_POST['msg'])) {
            $postArray = array(
                "uid" => $this->loginInfo['uid'],
                "cid" => intval($_POST['cid']),
                "pictures" => Common::text_in($_POST['pictures']),
                "message" => Common::text_in($_POST['msg']),
                "client" => Common::getClient(),
                "posttime" => time(),
                "lasttime" => time()
            );
            if(isset($_POST['tempTid']) && Common::getTopicTid($this->db, intval($_POST['tempTid'])) > 0) {
                $updateArray = array(
                    'cid'       => $postArray['cid'],
                    'message'   => $postArray['message']." [p][ ".date('Y年n月j日 H:i:s', $postArray['posttime'])."最后修改 ]"
                );
                $this->db->query($this->db->update("`". PRE ."topic`", $updateArray, "`tid`=" . intval($_POST['tempTid'])));
                die('{"result":"success","message":"帖子修改成功"}');
            }
            if( Common::checkClubCid($this->db, $postArray['cid']) == 0 ) {
                die('{"result":"error","message":"您尚未选择分类"}');
            }
            if( $postArray['message'] == '') {
                die('{"result":"error","message":"内容不能为空"}');
            }
            if( $postArray['posttime'] - Common::getUserLasttime($this->db, $this->loginInfo['uid']) < 30 ) {
                die('{"result":"error","message":"防水策略生效中，您发的太快了"}');
            }
            $this->db->query($this->db->insert("`". PRE ."topic`", $postArray));
            $postResult = $this->db->lastInsertId();
            if (isset($postResult) && $postResult > 0) {
                setcookie("tmp_picture", "", 0, "/");
                Common::updateUserMoney($this->db, $this->loginInfo['uid'], $GLOBALS['balance_config']['change']['topic'], 3);
                Common::updateLogintime($this->db, $this->loginInfo['uid']);
                die('{"result":"success","message":"发布成功，正在刷新..."}');
            } else {
                die('{"result":"error","message":"发布失败"}');
            }
        } else {
            echo '{"result":"error","message":"发布失败"}';
        }
    }

通过上面代码可以看出，在新建帖子和编辑帖子都是请求到这里来的。新建帖子没什么说的，重点是编辑的地方。
代码

if(isset($_POST['tempTid']) && Common::getTopicTid($this->db, intval($_POST['tempTid'])) > 0) {
                $updateArray = array(
                    'cid'       => $postArray['cid'],
                    'message'   => $postArray['message']." [p][ ".date('Y年n月j日 H:i:s', $postArray['posttime'])."最后修改 ]"
                );
                $this->db->query($this->db->update("`". PRE ."topic`", $updateArray, "`tid`=" . intval($_POST['tempTid'])));
                die('{"result":"success","message":"帖子修改成功"}');
            }

这段代码验证是编辑帖子的话调用。
如果是编辑则把更新数据message存在$updateArray
然后通过

$this->db->query($this->db->update("`". PRE ."topic`", $updateArray, "`tid`=" . intval($_POST['tempTid'])));

执行SQL语句，但是并没有验证帖子的权限，是否有权限编辑。导致可编辑任意用户的帖子。
----------------------------------------------------------------------
分析完，演示一下，直接在官网吧
https://www.rocboss.com/index.php
自己创建的帖子

别人的帖子

其中https://www.rocboss.com/say-860.html 的860为id
修改的时候抓包改ID，改成另外一个人的
试一下。
把860改成715

再去看别人的帖子

END

漏洞证明：

修复方案：

验证权限

版权声明：转载请注明来源 bey0nd@乌云

漏洞回应

厂商回应：

危害等级：低

漏洞Rank：1

确认时间：2014-12-16 12:08

厂商回复：

感谢提醒，1.1版本目前已经停止维护，其逻辑设计也相对比较老，建议你届时参考2.0。我比较好奇你是什么浏览器，为何你那边提示有证书风险？

漏洞评价：

2014-12-16 12:15 | bey0nd ( 普通白帽子 | Rank:895 漏洞数:142 | 相忘于江湖，不如相濡以沫)

ROCBOSS 360的
2014-12-16 12:24 | ROCBOSS(乌云厂商)

@bey0nd 现在仍然是有风险的？
2014-12-16 12:55 | bey0nd ( 普通白帽子 | Rank:895 漏洞数:142 | 相忘于江湖，不如相濡以沫)

@ROCBOSS 没有、是我浏览器设置的问题、网站本身没问题的
2015-06-11 17:45 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

@ROCBOSS https 挂了代理抓包，就会提示了呗

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-087071

漏洞标题：ROCBOSS微社区V1.1某处平行权限

相关厂商：rocboss.com

漏洞作者： bey0nd

提交时间：2014-12-16 11:57

修复时间：2015-03-16 11:58

公开时间：2015-03-16 11:58

漏洞类型：设计不当

危害等级：高

自评Rank：20

漏洞状态：厂商已经修复

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 bey0nd@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-087071

漏洞标题：ROCBOSS微社区V1.1某处平行权限

相关厂商：rocboss.com

漏洞作者： bey0nd

提交时间：2014-12-16 11:57

修复时间：2015-03-16 11:58

公开时间：2015-03-16 11:58

漏洞类型：设计不当

危害等级：高

自评Rank：20

漏洞状态：厂商已经修复

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-087071"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 bey0nd@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：