当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-014007

漏洞标题:TaoCms SQL 注入

相关厂商:taocms开源

漏洞作者: yy520

提交时间:2012-10-28 23:12

修复时间:2012-12-12 23:13

公开时间:2012-12-12 23:13

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-10-28: 细节已通知厂商并且等待厂商处理中
2012-10-29: 厂商已经确认,细节仅向厂商公开
2012-11-08: 细节向核心白帽子及相关领域专家公开
2012-11-18: 细节向普通白帽子公开
2012-11-28: 细节向实习白帽子公开
2012-12-12: 细节向公众公开

简要描述:

TaoCms SQL 注入
嗯,来刷点rank

详细说明:

版本:taoCMS2.5Beta5
在中include/common.php中:

30  if(!function_exists('get_magic_quotes_gpc') || get_magic_quotes_gpc())
31 {
32 $_GET = Base::magic2word( $_GET );
33 $_POST = Base::magic2word( $_POST );
34 $_COOKIE = Base::magic2word( $_COOKIE );
35 }


magic2word在include/Model/Base.php中定义:

230    static function magic2word($text){
231 if (is_array($text)) {
232 foreach($text as $k=>$v){
233 $text[$k]=self::magic2word($v);
234 }
235 }else{
236 $text=stripslashes($text);
237 }
238 return $text;
239 }


总体就是一开始就去除魔术引号
然后在:

123    static function safeword($text,$level=8){
124 if(is_array($text))
125 {
126 foreach( $text as $key=>$value){
127 $safeword[$key]=self::safeword($value);
128 }
129 }
130 else
131 {
132 switch ($level)
133 {
134 case 0:
135 if (get_magic_quotes_gpc()) {// 检查magic_quotes_gpc是否打开,如果没有打开,用addslashes进行转义
136 $safeword = stripcslashes($text);
137 }else{
138 $safeword=$text;
139 }
140 break;
141 case 1:
142 $safeword=intval($text);
143 break;
144 case 3:
145 $safeword=strip_tags($text);
146 break;
147 case 5:
148 $safeword=nl2br(htmlspecialchars($text));
149 break;
150 case 6:
151 $safeword=str_replace("'","",addslashes($text));
152 $safeword=str_replace("select","",$safeword);
153 $safeword=str_replace("union","",$safeword);
154 $safeword=str_replace("=","",$safeword);
155 break;
156 default:
157 if(ucfirst(DB)=='Sqlite'){
158 $safeword=str_replace("'","''",$text);
159 }
160 else{
161 $safeword=Base::_addslashs($text);
162 }
163 break;
164
165 }
166 }
167 return $safeword;
168 }
169 static function _addslashs($text){
170 if (!get_magic_quotes_gpc()) {// 检查magic_quotes_gpc是否打开,如果没有打开,用addslashes进行转义
171 $text = addslashes($text);
172 }
173 return $text;
174
175 }


神逻辑,一开始就去掉魔术引号,后面为啥还在_addslashs判断它是否使用了gpc,直接去掉if得了....
当gpc开启,数据库为mysql,利用safeword来过滤注入语句就形同虚设了,所以差不多就是只要找到任意一个字符型的参数,就可以注入了,例如在留言处:姓名输入a','b',(select @@version),'c','123'),('26','c 同理内容处也可以注入...
结果如图:


另外一枚注入:
在include/Model/Base.php中:

34    static function realip(){
35 if(getenv('HTTP_CLIENT_IP')){
36 $ip=getenv('HTTP_CLIENT_IP');
37 }elseif(getenv('HTTP_X_FORWARDED_FOR')){
38 $ip=getenv('HTTP_X_FORWARDED_FOR');
39 }elseif(getenv('REMOTE_ADDR')){
40 $ip=getenv('REMOTE_ADDR');
41 }else{
42 $ip=$HTTP_SERVER_VARS['REMOTE_ADDR'];
43 }
44 return $ip;
45 }


有两个地方调用了realip,挑简单的讲
在wap/index.php中调用了realip:

25  if($mobile){
26 if($name==''||$comment=='')die('Please input your name and comment correctly!<a href="?id='.$article_id.'">Back</a>');
27 $tmp['article_id']=$article_id;
28 $tmp['name']=Base::safeword($name,4);
29 $tmp['emails']='ok@ok.com';
30 $tmp['content']=Base::safeword($comment,5);
31 $tmp['ips']=Base::realip();
32 $tmp['times']=Base::getnowtime();
33 $data['status']=1;
34 $addstatus=$dbit->add_one(TB."comment",$tmp);
35 $dbit->updatelist(TB."cms","cmtcount=cmtcount+1",$tmp['article_id']);
36 die('^_^Submit Succefully!<a href="?id='.$article_id.'">GO ON!</a>');
37


最后$tmp['ips']完全没过滤的进入了sql语句
这个$tmp['ips']还可xss到后台哦

POST /taocms/wap/?id=26 HTTP/1.1
Host: 192.168.100.100
Client-ip: <script>alert(1)</script>



后台漏洞一堆:
目录遍历:admin/admin.php?action=file&ctrl=lists&path=../.../
任意文件下载:admin/admin.php?action=file&ctrl=download&path=../../../../test.txt
后台get shell就是直接编辑文件。。。。
吐槽一下添加人员那里:
能添加相同名字的人员,比如再添加一个admin,然后在登陆处只检索了一行,就直接导致另外一个同名人员无法登陆.....什么逻辑啊!!!

44    public function checkUser(){
45 $this->db=new Dbclass(SYS_ROOT.DB_NAME);
46 $user=$this->db->get_one(TB."admin","name='".Base::safeword($_POST['name'],6)."'");
47 if( strlen($user['passwd'])==30){
48 $autoOk=substr(md5($_POST['pwd']),0,30)==$user['passwd'];
49 }else{
50 $autoOk=$_POST['pwd']==$user['passwd'];
51 }


还有能否给添加的用户名设置maxlen,我用了admin(空格数>30)hello,就被mysql截断了。。。要是能前台注册用户,你就悲剧了。
..真不爽,最好玩的__autoload的被kobin97大牛先找到了

漏洞证明:

如上所示....

修复方案:

药药!切克闹!煎饼果子来一套!一个鸡蛋一块钱!喜欢脆的多放面!辣椒腐乳小葱花!铁板铁铲小木刷!药药!切克闹!放点面酱些许甜!趁热吃了似神仙!艾瑞巴蒂!黑喂够!跟我一起来一套!动词大慈动词!我说煎饼你说要!“煎饼”“要”“煎饼”“要”切克闹切克闹!金黄喷香好味道!

版权声明:转载请注明来源 yy520@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:19

确认时间:2012-10-29 11:50

厂商回复:

十分感谢您的检测,当前注入相关漏洞已经修复,后台db字符截断、文件读写逻辑问题将会继续完善

最新状态:

2012-10-29:注入&xss已经修复,其他逻辑问题将在下个版本完善

2012-10-29:请用户下载最新的更新补丁