乌云(WooYun.org)历史漏洞查询---http://wy.zone.ci/
乌云 Drops 文章在线浏览--------http://drop.zone.ci/
2014-07-13: 细节已通知厂商并且等待厂商处理中 2014-07-14: 厂商已经确认,细节仅向厂商公开 2014-07-17: 细节向第三方安全合作伙伴开放 2014-09-07: 细节向核心白帽子及相关领域专家公开 2014-09-17: 细节向普通白帽子公开 2014-09-27: 细节向实习白帽子公开 2014-10-11: 细节向公众公开
后台管理界面因为过滤不严格导致SQL注入漏洞,可以使权限较低的管理员取得较高权限,以及获取并修改超级管理员的用户名密码。
存在问题的代码,admin_save.php 59-101行,SQL语句中的$id存在注入
else if($action == 'update'){ //创始人账号不允许更改状态 if($id == 1 and ($checkadmin != 'true' or $levelname != '1')) { ShowMsg('抱歉,不能更改创始账号状态!','-1'); exit(); } //只有超级管理员才有权修改超级管理员 if($cfg_adminlevel > 1 and $levelname == 1) { ShowMsg('非法的操作,不能修改为超级管理员!', '-1'); exit(); } if($password == '') { $sql = "UPDATE `$tbname` SET nickname='$nickname', question='$question', answer='$answer', levelname='$levelname', checkadmin='$checkadmin' WHERE id=$id"; } else { $oldpwd = md5(md5($oldpwd)); $password = md5(md5($password)); $r = $dosql->GetOne("SELECT `password` FROM `#@__admin` WHERE id=$id"); if($r['password'] != $oldpwd) { ShowMsg('抱歉,旧密码错误!','-1'); exit(); } $sql = "UPDATE `$tbname` SET password='$password', nickname='$nickname', question='$question', answer='$answer', levelname='$levelname', checkadmin='$checkadmin' WHERE id=$id"; } if($dosql->ExecNoneQuery($sql)) { header("location:$gourl"); exit(); }}
漏洞证明
下面的很多SQL语句的参数,都没有过滤。86行
$r = $dosql->GetOne("SELECT `password` FROM `#@__admin` WHERE id=$id");
79行
$sql = "UPDATE `$tbname` SET nickname='$nickname', question='$question', answer='$answer', levelname='$levelname', checkadmin='$checkadmin' WHERE id=$id";
93行
$sql = "UPDATE `$tbname` SET password='$password', nickname='$nickname', question='$question', answer='$answer', levelname='$levelname', checkadmin='$checkadmin' WHERE id=$id";
115行
$sql = "UPDATE `$tbname` SET checkadmin='false' WHERE `id`=$id";
总之就是都没有过滤
如上
intval()
危害等级:低
漏洞Rank:3
确认时间:2014-07-14 07:34
感谢提交漏洞,我们会尽快修复
暂无