PHPMyWind后台管理界面的SQL注入漏洞 | wooyun-2014-068219| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-068219

漏洞标题：PHPMyWind后台管理界面的SQL注入漏洞

漏洞作者：蓝蓝

提交时间：2014-07-13 13:37

修复时间：2014-10-11 13:38

公开时间：2014-10-11 13:38

漏洞类型：SQL注射漏洞

危害等级：低

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-07-13：细节已通知厂商并且等待厂商处理中
2014-07-14：厂商已经确认，细节仅向厂商公开
2014-07-17：细节向第三方安全合作伙伴开放
2014-09-07：细节向核心白帽子及相关领域专家公开
2014-09-17：细节向普通白帽子公开
2014-09-27：细节向实习白帽子公开
2014-10-11：细节向公众公开

简要描述：

后台管理界面因为过滤不严格导致SQL注入漏洞，可以使权限较低的管理员取得较高权限，以及获取并修改超级管理员的用户名密码。

详细说明：

存在问题的代码，admin_save.php 59-101行，SQL语句中的$id存在注入

else if($action == 'update')
{
	//创始人账号不允许更改状态
	if($id == 1 and ($checkadmin != 'true' or $levelname != '1'))
	{
		ShowMsg('抱歉，不能更改创始账号状态！','-1');
		exit();
	}
	//只有超级管理员才有权修改超级管理员
	if($cfg_adminlevel > 1 and $levelname == 1)
	{
		ShowMsg('非法的操作，不能修改为超级管理员！', '-1');
		exit();
	}
	if($password == '')
	{
		$sql = "UPDATE `$tbname` SET nickname='$nickname', question='$question', answer='$answer', levelname='$levelname', checkadmin='$checkadmin' WHERE id=$id";
	}
	else
	{
		$oldpwd   = md5(md5($oldpwd));
		$password = md5(md5($password));
		$r = $dosql->GetOne("SELECT `password` FROM `#@__admin` WHERE id=$id");
		if($r['password'] != $oldpwd)
		{
			ShowMsg('抱歉，旧密码错误！','-1');
			exit();
		}
		
		$sql = "UPDATE `$tbname` SET password='$password', nickname='$nickname', question='$question', answer='$answer', levelname='$levelname', checkadmin='$checkadmin' WHERE id=$id";
	}
	if($dosql->ExecNoneQuery($sql))
	{
		header("location:$gourl");
		exit();
	}
}

漏洞证明

下面的很多SQL语句的参数，都没有过滤。
86行

$r = $dosql->GetOne("SELECT `password` FROM `#@__admin` WHERE id=$id");

79行

$sql = "UPDATE `$tbname` SET nickname='$nickname', question='$question', answer='$answer', levelname='$levelname', checkadmin='$checkadmin' WHERE id=$id";

93行

$sql = "UPDATE `$tbname` SET password='$password', nickname='$nickname', question='$question', answer='$answer', levelname='$levelname', checkadmin='$checkadmin' WHERE id=$id";

115行

$sql = "UPDATE `$tbname` SET checkadmin='false' WHERE `id`=$id";

总之就是都没有过滤

漏洞证明：

如上

修复方案：

intval()

版权声明：转载请注明来源蓝蓝@乌云

漏洞回应

厂商回应：

危害等级：低

漏洞Rank：3

确认时间：2014-07-14 07:34

厂商回复：

感谢提交漏洞，我们会尽快修复

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-068219

漏洞标题：PHPMyWind后台管理界面的SQL注入漏洞

相关厂商：phpmywind.com

漏洞作者：蓝蓝

提交时间：2014-07-13 13:37

修复时间：2014-10-11 13:38

公开时间：2014-10-11 13:38

漏洞类型：SQL注射漏洞

危害等级：低

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源蓝蓝@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-068219

漏洞标题：PHPMyWind后台管理界面的SQL注入漏洞

相关厂商：phpmywind.com

漏洞作者： 蓝蓝

提交时间：2014-07-13 13:37

修复时间：2014-10-11 13:38

公开时间：2014-10-11 13:38

漏洞类型：SQL注射漏洞

危害等级：低

自评Rank：10

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-068219"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 蓝蓝@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：蓝蓝

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源蓝蓝@乌云