当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-070353

漏洞标题:qibocms多个系统绕过补丁继续注入2

相关厂商:齐博CMS

漏洞作者: ′雨。

提交时间:2014-07-31 17:04

修复时间:2014-10-29 17:06

公开时间:2014-10-29 17:06

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-07-31: 细节已通知厂商并且等待厂商处理中
2014-08-01: 厂商已经确认,细节仅向厂商公开
2014-08-04: 细节向第三方安全合作伙伴开放
2014-09-25: 细节向核心白帽子及相关领域专家公开
2014-10-05: 细节向普通白帽子公开
2014-10-15: 细节向实习白帽子公开
2014-10-29: 细节向公众公开

简要描述:

之前发了补丁被绕过了, 现在又发布了补丁。
今天上午的时候看了看补丁。 第一眼觉得很牛逼。
然后觉得这补丁很吊,就放下了。
下午的时候又继续看了看补丁 原来还是可以绕过。
依旧是通杀多个系统。
由于是通用的函数, 所以能造成注入的点不止一处。
用v7整站系统 再随便找一个点来说就行啦。

详细说明:

再来看看一下 qibocms的全局过滤函数

$_POST=Add_S($_POST);
$_GET=Add_S($_GET);
$_COOKIE=Add_S($_COOKIE);


function Add_S($array){
	foreach($array as $key=>$value){
		if(!is_array($value)){
			@eregi("['\\\"&]+",$key) && die('ERROR KEY!');
			$value=str_replace("&#x","& # x",$value);	//过滤一些不安全字符
			$value=preg_replace("/eval/i","eva l",$value);	//过滤不安全函数
			!get_magic_quotes_gpc() && $value=addslashes($value);
			$array[$key]=$value;
		}else{
			$array[$key]=Add_S($array[$key]); 
		}
	}
	return $array;
}


这里把数组中的value addslashes 转义了
但是没有对key addslashes (这里应该也不能做addslashes 因为会像上次那样绕过)
可以看到是把过滤key的代码换了 之前是replace 可以绕过
现在是 @eregi("['\\\"&]+",$key) && die('ERROR KEY!');
我擦, 看起来很叼的样子。 匹配到' 或者 " 或者\ 就直接退出。
当我第一眼看到的时候 觉得很叼 就放下了qibo。 睡觉去了。
________________________________________________________________________
到了下午 精神倍棒
依旧 我们自己来写一个文件测试一下
再调用一下qibo的这函数

<?php  
$_GET=Add_S($_GET[a]);
function Add_S($array){
	foreach($array as $key=>$value){
		if(!is_array($value)){
			@eregi("['\\\"&]+",$key) && die('ERROR KEY!');
			$value=str_replace("&#x","& # x",$value);	//过滤一些不安全字符
			$value=preg_replace("/eval/i","eva l",$value);	//过滤不安全函数
			!get_magic_quotes_gpc() && $value=addslashes($value);
			$array[$key]=$value;
		}else{
			$array[$key]=Add_S($array[$key]); 
		}
	}
	return $array;
}


30.jpg


碉堡 key中的单引号被匹配到了 被退出了
但是换一种方式呢 这里我输出一下$key

31.jpg


可以看到提交web.com/yu.php?a[a'][asd]=a 的时候 那么进入过滤函数的时候的key是asd
那么就不会被匹配到 就不会被过滤了。
那么我们不就是绕过了这个过滤了?
___________________________________________________________________________
绕过了这个随便找个点来说
在member/post.php中

elseif($job=='manage')
{
	if(!$atc_power)showerr("你没权限");
	if($rsdb[pages]<2){
		header("location:post.php?job=edit&aid=$aid&mid=$mid&only=$only");exit;
	}
	$erp=get_id_table($aid);
	if($step==2){
		asort($orderDB);
		$i=0;
		foreach( $orderDB AS $key=>$value){
			$i++;
			$db->query("UPDATE {$pre}reply$erp SET orderid=$i WHERE aid='$aid' AND rid='$key'");
		}
		refreshto("$FROMURL","排序成功",1);
	}


foreach 出来的key没有过滤 直接带入到了查询当中

32.jpg


直接提交key被匹配出 像刚才那样绕过一下

33.jpg


这样进行检测的key 是asd 但是 带入查询的 而是那段含单引号的key。
造成了注入。

漏洞证明:

33.jpg

修复方案:

这个我真心也不知道怎么过滤了。。
还是看你们把。

版权声明:转载请注明来源 ′雨。@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-08-01 10:20

厂商回复:

感谢提出来

最新状态:

暂无