TCCMS设计缺陷（伪造他人发帖） | wooyun-2013-043973| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-043973

漏洞标题：TCCMS设计缺陷（伪造他人发帖）

漏洞作者：齐迹

提交时间：2013-11-25 10:43

修复时间：2014-02-23 10:44

公开时间：2014-02-23 10:44

漏洞类型：设计缺陷/逻辑错误

危害等级：低

自评Rank：5

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-11-25：细节已通知厂商并且等待厂商处理中
2013-11-25：厂商已经确认，细节仅向厂商公开
2013-11-28：细节向第三方安全合作伙伴开放
2014-01-19：细节向核心白帽子及相关领域专家公开
2014-01-29：细节向普通白帽子公开
2014-02-08：细节向实习白帽子公开
2014-02-23：细节向公众公开

简要描述：

本来不算提交的，不过我觉得厂商还没有意识到问题的严重性。所以再次发一个详细说明一下。

详细说明：

问题发生在 bbs模块
和上次的类型是一样的用了model的create方法。
\bbs\controller\index.class.php
行147

/*
    * 前台
    * 帖子发布保存
    * */
    public function savePost() {
    	$_Obj = M("bbs_thread");
    	$msgObj = new Msg ();
    	$_Obj->create();
    	$_Obj->subject = $_POST['info']['subject'];
    	$_Obj->content = $_POST['info']['content'];
    	$_Obj->addtime = time();
    	if (empty($_Obj->subject) || empty($_Obj->content)) {
    		$msgObj->addMsg ( 'error', Config::lang("TITLEANDCONTENTNOTEMPTY") );
    	}
    	if (empty($_COOKIE['userId'])) {
    		$msgObj->addMsg ( 'error', Config::lang("BBSPOSTMUSTLOGIN") );
    	}
    	if (empty($_POST['info']['boardid'])) {
    			$msgObj->addMsg ( 'error', '请选择版块');
    		}
    	if (! $msgObj->hasMsg) {
    		$user = get('user',$_COOKIE['userId']);
	    	$_Obj->uid = $_COOKIE['userId'];
	    	$_Obj->username = empty($user->username) ? "Unknow" :$user->username;
	    	$_Obj->guestip = NetUtil::getIp();
	    	$_Obj->yz = 1;
	    	$_Obj->saveOrUpdate();
	    	//
	    	$user->money += 10 ;
	    	$user->update();
	    	header("Location:index.php?ac=index_list&m=bbs&bid=" . $_Obj->boardid);
    	} else {
    		$_GET['bid']=$_GET['bid'];
    		$_GET['boardid']=$_POST['info']['boardid'];
    		$this->setValue ( "Obj", $_Obj );
    		$this->post();
    	}
    }

这里只需要POST['info']['id'] 即可修改任意帖子
重点是 $_COOKIE['userId'] 没有进行验证
主要伪造COOKIE 即可具有发布的权限。
这个文件最后还有锁定板块功能没有权限验证。
这个文件我都不忍心看了！多多啊！

漏洞证明：

http://bbs.teamcen.com/thread-3-10.html
成功修改了帖子和伪造管理员回帖！

修复方案：

推荐一篇问题
http://my.oschina.net/qiji2012/blog/165232
最后说一下
rank分数不是对你们专业级别的评级！
从审计中成长才是最重要的！

版权声明：转载请注明来源齐迹@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2013-11-25 11:21

厂商回复：

感谢齐迹，web安全因你而更完美,TC的安全有你的参与而更完善。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-043973

漏洞标题：TCCMS设计缺陷（伪造他人发帖）

相关厂商：teamcen.com

漏洞作者：齐迹

提交时间：2013-11-25 10:43

修复时间：2014-02-23 10:44

公开时间：2014-02-23 10:44

漏洞类型：设计缺陷/逻辑错误

危害等级：低

自评Rank：5

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源齐迹@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-043973

漏洞标题：TCCMS设计缺陷（伪造他人发帖）

相关厂商：teamcen.com

漏洞作者： 齐迹

提交时间：2013-11-25 10:43

修复时间：2014-02-23 10:44

公开时间：2014-02-23 10:44

漏洞类型：设计缺陷/逻辑错误

危害等级：低

自评Rank：5

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2013-043973"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 齐迹@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：齐迹

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源齐迹@乌云