Beescms v3.4 设计缺陷致任意登录后台。 | wooyun-2014-059180| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-059180

漏洞标题：Beescms v3.4 设计缺陷致任意登录后台。

漏洞作者： ′雨。

提交时间：2014-05-02 16:31

修复时间：2014-07-28 16:32

公开时间：2014-07-28 16:32

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-05-02：细节已通知厂商并且等待厂商处理中
2014-05-07：厂商主动忽略漏洞，细节向第三方安全合作伙伴开放
2014-07-01：细节向核心白帽子及相关领域专家公开
2014-07-11：细节向普通白帽子公开
2014-07-21：细节向实习白帽子公开
2014-07-28：细节向公众公开

简要描述：

看了几个小时好像也没有看出神马名堂来。

详细说明：

在admin/init.php中

if (!get_magic_quotes_gpc())
{
    if (isset($_REQUEST))
    {
        $_REQUEST  = addsl($_REQUEST);
    }
    $_COOKIE   = addsl($_COOKIE);
	$_POST = addsl($_POST);
	$_GET = addsl($_GET);
}
include(DATA_PATH.'confing.php');
define('CMS_URL','http://'.$_SERVER['HTTP_HOST'].CMS_SELF);
include(INC_PATH.'mysql.class.php');
$mysql=new mysql(DB_HOST,DB_USER,DB_PASSWORD,DB_NAME,DB_CHARSET,DB_PCONNECT);
if(file_exists(DATA_PATH."cache/cache_admin_group.php")){include(DATA_PATH."cache/cache_admin_group.php");}
//检查登陆
if(!is_login()){header('location:login.php');exit;}

这里对get post cookie转义后没有extract。
但是在include/init.php中 extract了。

if (!get_magic_quotes_gpc())
{
    if (isset($_REQUEST))
    {
        $_REQUEST  = addsl($_REQUEST);
    }
    $_COOKIE   = addsl($_COOKIE);
	$_POST = addsl($_POST);
	$_GET = addsl($_GET);
}
if (isset($_REQUEST)){$_REQUEST  = fl_value($_REQUEST);}
    $_COOKIE   = fl_value($_COOKIE);
	$_GET = fl_value($_GET);
@extract($_POST);
@extract($_GET);
@extract($_COOKIE);

先addslashes一次然后调用fl_value 来过滤一些特殊字符。
在admin/init.php中

if(!is_login()){header('location:login.php');exit;}

判断是否登录。

function is_login(){
	if($_SESSION['login_in']==1&&$_SESSION['admin']){
		if(time()-$_SESSION['login_time']>3600){
			login_out();
		}else{
			$_SESSION['login_time']=time();
			@session_regenerate_id();
		}
		return 1;
	}else{
		$_SESSION['admin']='';
		$_SESSION['admin_purview']='';
		$_SESSION['admin_id']='';
		$_SESSION['admin_time']='';
		$_SESSION['login_in']='';
		$_SESSION['login_time']='';
		$_SESSION['admin_ip']='';
		return 0;
	}

if($_SESSION['login_in']==1&&$_SESSION['admin']){
		if(time()-$_SESSION['login_time']>3600){
			login_out();
		}else{
			$_SESSION['login_time']=time();
			@session_regenerate_id();
		}
		return 1;

只要满足 session 的login_in true admin true 和时间戳减去login_time小于3600
就能返回true。
这里我们全部覆盖掉。
时间戳减去login_time小于3600的话让login_time 很大很大就行了。
首先对index.php请求然后访问admin
这里我把session输出来一下。满足条件了的。

漏洞证明：

直接访问/admin/ 就会跳转到/admin/admin.php了。

修复方案：

加强验证。

版权声明：转载请注明来源 ′雨。@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-07-28 16:32

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-059180

漏洞标题：Beescms v3.4 设计缺陷致任意登录后台。

相关厂商：beescms.com

漏洞作者： ′雨。

提交时间：2014-05-02 16:31

修复时间：2014-07-28 16:32

公开时间：2014-07-28 16:32

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 ′雨。@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-059180

漏洞标题：Beescms v3.4 设计缺陷致任意登录后台。

相关厂商：beescms.com

漏洞作者： ′雨。

提交时间：2014-05-02 16:31

修复时间：2014-07-28 16:32

公开时间：2014-07-28 16:32

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-059180"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 ′雨。@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：