当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-064348

漏洞标题:PHPYUN最新版多处SQL注入及越权操作二

相关厂商:php云人才系统

漏洞作者: xfkxfk

提交时间:2014-06-10 16:17

修复时间:2014-09-08 16:18

公开时间:2014-09-08 16:18

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-06-10: 细节已通知厂商并且等待厂商处理中
2014-06-10: 厂商已经确认,细节仅向厂商公开
2014-06-13: 细节向第三方安全合作伙伴开放
2014-08-04: 细节向核心白帽子及相关领域专家公开
2014-08-14: 细节向普通白帽子公开
2014-08-24: 细节向实习白帽子公开
2014-09-08: 细节向公众公开

简要描述:

PHPYUN最新版(phpyun_v3.1.0604_gbk)多处SQL注入及越权操作
虽然PHPYUN在注入防御上已经做得很不错了,方的很严格,像吃掉引号,宽字节的基本上很少了,但是不需要跟引号斗争的地方还有很多,得好好检查,好好修复了!!!
这里再来三处SQL注入及越权操作!!!

详细说明:

文件/member/model/com.class.php
第一处SQL注入、越权修改企业环境展示信息:

function saveshow_action(){
		if($_POST['submitbtn']){
			$pid=@implode(',',$_POST['id']);
			$company_show=$this->obj->DB_select_all("company_show","`id` in (".$pid.") and `uid`='".$this->uid."'","`id`");
			if($company_show&&is_array($company_show)){
				foreach($company_show as $val){
					$title=$_POST['title_'.$val['id']];
					$this->obj->update_once("company_show",array("title"=>trim($title)),array("id"=>(int)$val['id']));
				}
				$this->obj->ACT_layer_msg("修改成功!",9,"index.php?c=show");
			}else{
				$this->obj->ACT_layer_msg("非法操作!",3,"index.php");
			}
		}else{
			$this->obj->ACT_msg("index.php","非法操作!");
		}
	}


这里的$pid=@implode(',',$_POST['id']);
没有经过引号保护,直接进入DB_select_all,在DB_select_all中也未进行处理:

function DB_select_all($tablename, $where = 1, $select = "*") {
		$cachename=$tablename.$where;
		if(!$row_return=$this->Memcache_set($cachename)){
			$row_return=array();
			$SQL = "SELECT $select FROM `" . $this->def . $tablename . "` WHERE $where";
			$query=$this->db->query($SQL);
			 while($row=$this->db->fetch_array($query)){$row_return[]=$row;}
		 	$this->Memcache_set($cachename,$row_return);
		}
		 return $row_return;
	}


导致存在SQL注入。
第二处SQL注入、越权删除企业新闻

function news_action(){
		$this->public_action();
		$where='';
		if($_POST['delid'] || $_GET['delid'])
		{
	    	if($_POST['delid'] || $_GET['delid'])
	    	{
	    		if(is_array($_POST['delid']))
	    		{
	    			$delid=@implode(",",$_POST['delid']);
					$layer_type='1';
		    	}else{
		    		$delid=$_GET['delid'];
					$layer_type='0';
		    	}
				$oid=$this->obj->DB_delete_all("company_news","`id` in (".$delid.") and `uid`='".$this->uid."'","");
				$oid?$this->layer_msg('删除成功!',9,$layer_type):$this->layer_msg('删除失败!',8,$layer_type);
	    	}else{
 	    		$this->obj->ACT_layer_msg("请选择您要删除的新闻!",8,$_SERVER['HTTP_REFERER']);
	    	}
	    }


这里的$delid=$_GET['delid'];
没有经过引号保护,直接进入了DB_delete_all中

function DB_delete_all($tablename, $where, $limit = 'limit 1'){
	 	$SQL = "DELETE FROM `" . $this->def . $tablename . "` WHERE $where $limit";
		$this->db->query("set `sql_mode`=''");
		return $this->db->query($SQL);
	}


导致SQL注入。
又由于,通过截断,修改后面的uid,就可以导致越权操作,删除任意企业用户的企业新闻。
第三处SQL注入、越权删除任意企业用户产品

function product_action()
	{
		$this->public_action();
		$delid=$_GET['delid'];
		if($delid){
			if(is_array($delid)){
				$ids=implode(',',$delid);
				$layer_type=1;
			}else{
				$ids=$delid;
				$layer_type=0;
			}
			$row=$this->obj->DB_select_all("company_product","`id` in (".$ids.") and `uid`='".$this->uid."'","`pic`");
			if(is_array($row)){
				foreach($row as $k=>$v){
					$this->obj->unlink_pic("..".$v['pic']);
				}
			}
			$oid=$this->obj->DB_delete_all("company_product","`id` in (".$ids.") and `uid`='".$this->uid."'","");
			$oid?$this->layer_msg('删除成功!',9,$layer_type,$_SERVER['HTTP_REFERER']):$this->layer_msg('删除失败!',8,$layer_type,$_SERVER['HTTP_REFERER']);
		}


这里的$delid=$_GET['delid'];$ids=$delid;
$ids没有经过引号保护,直接进入SQL语句,导致SQL注入
由于通过截断,修改后面的uid,就可以导致越权操作,删除任意企业用户的企业产品。

漏洞证明:

拿第一处SQL注入、越权修改企业环境展示信息为例:
从代码可以看出,当查询失败时,会返回“非法操作!”:

1.png


当查询正常时,会返回“修改成功!”:

2.png


4.png


这里可以看出user()的第一个字符就是r
依次遍历char的值,得到user()=root
其他几处SQL注入漏洞证明验证过程方法见漏洞:
WooYun: PHPYUN最新版多处SQL注入及越权操作

修复方案:

过滤,引号保护。

版权声明:转载请注明来源 xfkxfk@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2014-06-10 16:46

厂商回复:

感谢支持,我们会不断完善,同膜拜!

最新状态:

暂无