*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。
*本文作者:q601333824,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。
概述
帝国CMS简称Empire CMS,当前的最新版本为7.5,个人空间可以匿名留言和登录留言,由于权限控制不当,可以伪造任意用户登录留言,自己无聊挖着玩的东西,喜欢的可以自己复现玩玩。
相关环境
源码信息:EmpireCMS_7.5_SC_UTF8
漏洞类型:越权
下载地址:http://www.phome.net/download/
漏洞文件:/e/member/mspace/gbookfun.php漏洞分析
1. 查看代码文件,插入留言的时候,从getcvar(‘mluserid’)获取uid,然后当$uid存在时候再从getcvar(‘mlusername’)获取用户名,最后再进行插入留言,如果uid不存在的话,就设置uid=0,就是匿名留言了。
2. 最后再查看getcvar函数的定义,参数的来源是从$_COOKIE里面取出来了,前缀+$_COOKIE的值。
3. 看到这里有的人就可以想到利用方法了,这个时候只要构造mluserid和mlusername参数就可以伪造任意用户登录留言了。
利用方法
1. 先获取$_COOKIE参数需要的前缀,打开浏览器就可以知道$_COOKIE的前缀是啥玩意了,我本地的$_COOKIE的前缀是ugbve。
2. 然后在控制台运行document.cookie=’ugbvemluserid=1;path=/’和document.cookie=’ugbvemlusername=admin;path=/’,指定COOKIE为根目录,因为留言页面和提交接口不在同一个目录,如果不设置根目录,接口获取不到COOKIE的(不用这个方法也可以自己抓包修改COOKIE就行,我懒得打开burpsuite,所以直接在控制台运行了)。
6. 这个时候在别人空间留言,都会以登录状态的admin,进行留言了,测试效果,刚才的留言是以admin的身份进行的留言,并且可以点击查看对方的空间。
最后总结
1. 其实就是判断是不是匿名留言的时候,没有判断用户是否是真的登录状态而进行留言。
2. 漏洞挖挖总还是有的。
修复建议
1. 从_COOKIE取出用户uid的时候,这个位置少了判断用户是否在登录状态下留言,想修复的同志,可以在这个位置加上登录判断。
*本文作者:q601333824,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。
来源:freebuf.com 2019-03-09 08:30:28 by: q601333824
请登录后发表评论
注册