Ucserver三个小问题 | wooyun-2014-065534| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-065534

漏洞标题：Ucserver三个小问题

漏洞作者： Map

提交时间：2014-06-19 21:09

修复时间：2014-09-17 21:10

公开时间：2014-09-17 21:10

漏洞类型：设计错误/逻辑缺陷

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-06-19：细节已通知厂商并且等待厂商处理中
2014-06-20：厂商已经确认，细节仅向厂商公开
2014-06-23：细节向第三方安全合作伙伴开放
2014-08-14：细节向核心白帽子及相关领域专家公开
2014-08-24：细节向普通白帽子公开
2014-09-03：细节向实习白帽子公开
2014-09-17：细节向公众公开

简要描述：

一个有条件的SQL注射和两个小问题。

详细说明：

1，暴力破解。
ucserver的默认管理员登录需要输入验证码，并且还有登录次数的限制，但是在：
/control/app.php 内是没有限制登录的次数的

function onadd() {
		$ucfounderpw = getgpc('ucfounderpw', 'P');
		$apptype = getgpc('apptype', 'P');
		$appname = getgpc('appname', 'P');
		$appurl = getgpc('appurl', 'P');
		$appip = getgpc('appip', 'P');
		$viewprourl = getgpc('viewprourl', 'P');
		$appcharset = getgpc('appcharset', 'P');
		$appdbcharset = getgpc('appdbcharset', 'P');
		$apptagtemplates = getgpc('apptagtemplates', 'P');
		$appallowips = getgpc('allowips', 'P');
		if(md5(md5($ucfounderpw).UC_FOUNDERSALT) == UC_FOUNDERPW || (strlen($ucfounderpw) == 32 && $ucfounderpw == md5(UC_FOUNDERPW))) {

只要登录的密码符合，就可以添加一个客户端连接到ucserver并且分配一个uckey和数据库信息。

else {
				//$return = "UC_STATUS_OK|$app[authkey]|$app[appid]|".UC_DBHOST.'|'.UC_DBNAME.'|'.UC_DBUSER.'|'.UC_DBPW.'|'.UC_DBCHARSET.'|'.UC_DBTABLEPRE.'|'.UC_CHARSET;
				$return = "$app[authkey]|$app[appid]|".UC_DBHOST.'|'.UC_DBNAME.'|'.UC_DBUSER.'|'.UC_DBPW.'|'.UC_DBCHARSET.'|'.UC_DBTABLEPRE.'|'.UC_CHARSET;
			}

2，已知客户端的uckey的情况下，对ucserver进行SQL注射
代码在：
/control/mail.php 中

function onadd() {
		$this->load('mail');
		$mail = array();
		$mail['appid']		= $this->app['appid'];
		$mail['uids']		= explode(',', $this->input('uids'));
		$mail['emails']		= explode(',', $this->input('emails'));
		$mail['subject']	= $this->input('subject');
		$mail['message']	= $this->input('message');
		$mail['charset']	= $this->input('charset');
		$mail['htmlon']		= intval($this->input('htmlon'));
		$mail['level']		= abs(intval($this->input('level')));
		$mail['frommail']	= $this->input('frommail');
		$mail['dateline']	= $this->time;
		return $_ENV['mail']->add($mail);
	}

$mail['uids'] = explode(',', $this->input('uids'));
这句代码中的$mail['uids']最后进到了SQL语句里，相应的代码在：
model/mail.php里有：

$mail['email_to'] = array();
			$uids = 0;
			foreach($mail['uids'] as $uid) {
				if(empty($uid)) continue;
				$uids .= ','.$uid;
			}
			$users = $this->db->fetch_all("SELECT uid, username, email FROM ".UC_DBTABLEPRE."members WHERE uid IN ($uids)");

$mail['email_to']被拼到$uids里最后导致了SQL注射。
3，信息泄漏，泄漏ucserver内的客户端应用和相应版本
代码在：
control/app.php 内

function onls() {
		$this->init_input();
		$applist = $_ENV['app']->get_apps('appid, type, name, url, tagtemplates, viewprourl, synlogin');
		$applist2 = array();
		foreach($applist as $key => $app) {
			$app['tagtemplates'] = $this->unserialize($app['tagtemplates']);
			$applist2[$app['appid']] = $app;
		}
		return $applist2;
	}

所以只要$this->init_input();能正确运行，那么就会抛出ucserver里面的应用和相应的版本号。
正好上传头像的api是存在$this->input()所需要的信息的，我们拿官方做个实验。
登录后访问：
http://www.discuz.net/home.php?mod=spacecp&ac=avatar

获得

http://uc.discuz.net/images/camera.swf?inajax=1&appid=13&input=2b310Oraxl%2BiVL8yXhYy7pJ5DkQOPHYLt2FRsTEIyOD3PMtxkbn%2FDKkzssQgMWYlBirpQPsYOuN4vT9J5mZF7V6Q%2BRD3A8GK9uBTSj8%2FCEOGkPH959sDeep%2FiFag6X8&agent=569b93c7d7e18a505d671ba495198a3a&ucapi=uc.discuz.net&avatartype=virtual&uploadSize=2048

抠出我们要的东西

?inajax=1&appid=13&input=2b310Oraxl%2BiVL8yXhYy7pJ5DkQOPHYLt2FRsTEIyOD3PMtxkbn%2FDKkzssQgMWYlBirpQPsYOuN4vT9J5mZF7V6Q%2BRD3A8GK9uBTSj8%2FCEOGkPH959sDeep%2FiFag6X8&agent=569b93c7d7e18a505d671ba495198a3a&ucapi=uc.discuz.net&avatartype=virtual&uploadSize=2048

拼一下，得到：
http://uc.discuz.net/index.php?m=app&a=ls&inajax=1&appid=13&input=2b310Oraxl%2BiVL8yXhYy7pJ5DkQOPHYLt2FRsTEIyOD3PMtxkbn%2FDKkzssQgMWYlBirpQPsYOuN4vT9J5mZF7V6Q%2BRD3A8GK9uBTSj8%2FCEOGkPH959sDeep%2FiFag6X8&agent=569b93c7d7e18a505d671ba495198a3a&ucapi=uc.discuz.net&avatartype=virtual&uploadSize=2048
访问得到：

<?xml version="1.0" encoding="ISO-8859-1"?>
<root>
	<item id="14">
		<item id="appid"><![CDATA[14]]></item>
		<item id="type"><![CDATA[UCHOME]]></item>
		<item id="name"><![CDATA[uchome]]></item>
		<item id="url"><![CDATA[http://u.discuz.net/home]]></item>
		<item id="tagtemplates">
			<item id="template"><![CDATA[]]></item>
		</item>
		<item id="viewprourl"><![CDATA[]]></item>
		<item id="synlogin"><![CDATA[0]]></item>
	</item>
	<item id="9">
		<item id="appid"><![CDATA[9]]></item>
		<item id="type"><![CDATA[OTHER]]></item>
		<item id="name"><![CDATA[Manyou_UChome]]></item>
		<item id="url"><![CDATA[http://uchome.developer.manyou.com/uchome]]></item>
		<item id="tagtemplates">
			<item id="template"><![CDATA[]]></item>
		</item>
		<item id="viewprourl"><![CDATA[/space.php?uid=%s]]></item>
		<item id="synlogin"><![CDATA[1]]></item>
	</item>
	<item id="11">
		<item id="appid"><![CDATA[11]]></item>
		<item id="type"><![CDATA[OTHER]]></item>
		<item id="name"><![CDATA[手握手]]></item>
		<item id="url"><![CDATA[http://sws.discuz.net/]]></item>
		<item id="tagtemplates">
			<item id="template"><![CDATA[]]></item>
		</item>
		<item id="viewprourl"><![CDATA[]]></item>
		<item id="synlogin"><![CDATA[0]]></item>
	</item>
	<item id="13">
		<item id="appid"><![CDATA[13]]></item>
		<item id="type"><![CDATA[]]></item>
		<item id="name"><![CDATA[Discuz!]]></item>
		<item id="url"><![CDATA[http://www.discuz.net/]]></item>
		<item id="tagtemplates">
			<item id="template"><![CDATA[<a href="{url}?sid=" target="_blank">{subject}</a>]]></item>
			<item id="fields">
				<item id="subject"><![CDATA[标题]]></item>
				<item id="uid"><![CDATA[用户 ID]]></item>
				<item id="username"><![CDATA[发帖者]]></item>
				<item id="dateline"><![CDATA[日期]]></item>
				<item id="url"><![CDATA[主题地址]]></item>
			</item>
		</item>
		<item id="viewprourl"><![CDATA[]]></item>
		<item id="synlogin"><![CDATA[1]]></item>
	</item>
</root>

漏洞证明：

整个其实危害还是挺大的：
如果你能暴力出来一个ucserver的管理员密码，你就可以把ucserver和uclient黑了。
如果你能黑掉你列出来的任何一个uclient的应用，你就可以拿应用的uckey对ucserver注射。

修复方案：

uc的onls用不上的话可以去掉或者做限制。
onadd也可以做个次数限制。
SQL注射直接在foreach里进行intval就好了。

版权声明：转载请注明来源 Map@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2014-06-20 10:46

厂商回复：

安全问题无大小，这些问题我们尽快给于处理，感谢您的支持。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-065534

漏洞标题：Ucserver三个小问题

相关厂商：Discuz!

漏洞作者： Map

提交时间：2014-06-19 21:09

修复时间：2014-09-17 21:10

公开时间：2014-09-17 21:10

漏洞类型：设计错误/逻辑缺陷

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Map@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-065534

漏洞标题：Ucserver三个小问题

相关厂商：Discuz!

漏洞作者： Map

提交时间：2014-06-19 21:09

修复时间：2014-09-17 21:10

公开时间：2014-09-17 21:10

漏洞类型：设计错误/逻辑缺陷

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-065534"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Map@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：