当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-064348

漏洞标题:PHPYUN最新版多处SQL注入及越权操作二

相关厂商:php云人才系统

漏洞作者: xfkxfk

提交时间:2014-06-10 16:17

修复时间:2014-09-08 16:18

公开时间:2014-09-08 16:18

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-06-10: 细节已通知厂商并且等待厂商处理中
2014-06-10: 厂商已经确认,细节仅向厂商公开
2014-06-13: 细节向第三方安全合作伙伴开放
2014-08-04: 细节向核心白帽子及相关领域专家公开
2014-08-14: 细节向普通白帽子公开
2014-08-24: 细节向实习白帽子公开
2014-09-08: 细节向公众公开

简要描述:

PHPYUN最新版(phpyun_v3.1.0604_gbk)多处SQL注入及越权操作
虽然PHPYUN在注入防御上已经做得很不错了,方的很严格,像吃掉引号,宽字节的基本上很少了,但是不需要跟引号斗争的地方还有很多,得好好检查,好好修复了!!!
这里再来三处SQL注入及越权操作!!!

详细说明:

文件/member/model/com.class.php
第一处SQL注入、越权修改企业环境展示信息:

function saveshow_action(){
if($_POST['submitbtn']){
$pid=@implode(',',$_POST['id']);
$company_show=$this->obj->DB_select_all("company_show","`id` in (".$pid.") and `uid`='".$this->uid."'","`id`");
if($company_show&&is_array($company_show)){
foreach($company_show as $val){
$title=$_POST['title_'.$val['id']];
$this->obj->update_once("company_show",array("title"=>trim($title)),array("id"=>(int)$val['id']));
}
$this->obj->ACT_layer_msg("修改成功!",9,"index.php?c=show");
}else{
$this->obj->ACT_layer_msg("非法操作!",3,"index.php");
}
}else{
$this->obj->ACT_msg("index.php","非法操作!");
}
}


这里的$pid=@implode(',',$_POST['id']);
没有经过引号保护,直接进入DB_select_all,在DB_select_all中也未进行处理:

function DB_select_all($tablename, $where = 1, $select = "*") {
$cachename=$tablename.$where;
if(!$row_return=$this->Memcache_set($cachename)){
$row_return=array();
$SQL = "SELECT $select FROM `" . $this->def . $tablename . "` WHERE $where";
$query=$this->db->query($SQL);
while($row=$this->db->fetch_array($query)){$row_return[]=$row;}
$this->Memcache_set($cachename,$row_return);
}
return $row_return;
}


导致存在SQL注入。
第二处SQL注入、越权删除企业新闻

function news_action(){
$this->public_action();
$where='';
if($_POST['delid'] || $_GET['delid'])
{
if($_POST['delid'] || $_GET['delid'])
{
if(is_array($_POST['delid']))
{
$delid=@implode(",",$_POST['delid']);
$layer_type='1';
}else{
$delid=$_GET['delid'];
$layer_type='0';
}
$oid=$this->obj->DB_delete_all("company_news","`id` in (".$delid.") and `uid`='".$this->uid."'","");
$oid?$this->layer_msg('删除成功!',9,$layer_type):$this->layer_msg('删除失败!',8,$layer_type);
}else{
$this->obj->ACT_layer_msg("请选择您要删除的新闻!",8,$_SERVER['HTTP_REFERER']);
}
}


这里的$delid=$_GET['delid'];
没有经过引号保护,直接进入了DB_delete_all中

function DB_delete_all($tablename, $where, $limit = 'limit 1'){
$SQL = "DELETE FROM `" . $this->def . $tablename . "` WHERE $where $limit";
$this->db->query("set `sql_mode`=''");
return $this->db->query($SQL);
}


导致SQL注入。
又由于,通过截断,修改后面的uid,就可以导致越权操作,删除任意企业用户的企业新闻。
第三处SQL注入、越权删除任意企业用户产品

function product_action()
{
$this->public_action();
$delid=$_GET['delid'];
if($delid){
if(is_array($delid)){
$ids=implode(',',$delid);
$layer_type=1;
}else{
$ids=$delid;
$layer_type=0;
}
$row=$this->obj->DB_select_all("company_product","`id` in (".$ids.") and `uid`='".$this->uid."'","`pic`");
if(is_array($row)){
foreach($row as $k=>$v){
$this->obj->unlink_pic("..".$v['pic']);
}
}
$oid=$this->obj->DB_delete_all("company_product","`id` in (".$ids.") and `uid`='".$this->uid."'","");
$oid?$this->layer_msg('删除成功!',9,$layer_type,$_SERVER['HTTP_REFERER']):$this->layer_msg('删除失败!',8,$layer_type,$_SERVER['HTTP_REFERER']);
}


这里的$delid=$_GET['delid'];$ids=$delid;
$ids没有经过引号保护,直接进入SQL语句,导致SQL注入
由于通过截断,修改后面的uid,就可以导致越权操作,删除任意企业用户的企业产品。

漏洞证明:

拿第一处SQL注入、越权修改企业环境展示信息为例:
从代码可以看出,当查询失败时,会返回“非法操作!”:

1.png


当查询正常时,会返回“修改成功!”:

2.png


4.png


这里可以看出user()的第一个字符就是r
依次遍历char的值,得到user()=root
其他几处SQL注入漏洞证明验证过程方法见漏洞:
WooYun: PHPYUN最新版多处SQL注入及越权操作

修复方案:

过滤,引号保护。

版权声明:转载请注明来源 xfkxfk@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2014-06-10 16:46

厂商回复:

感谢支持,我们会不断完善,同膜拜!

最新状态:

暂无