[公开漏洞]Easytalk垂直权限问题(逻辑漏洞可提权getshell)

来源:WooYun 浏览:705次 时间:2014-07-16
做网站找雨过天晴工作室
Easytalk垂直权限问题(逻辑漏洞可提权getshell) 相关厂商: nextsns.com 漏洞作者:Ano_Tom 提交时间:2014-04-17 10:50 公开时间:2014-07-16 10:50 漏洞类型:设计缺陷/逻辑错误 危害等级:高 自评Rank:20 漏洞状态: 厂商已经确认 漏洞来源:http://www.wooyun.org Tags标签: 无 漏洞详情 披露状态:

2014-04-17:细节已通知厂商并且等待厂商处理中
2014-04-18:厂商已经确认,细节仅向厂商公开
2014-04-21:细节向第三方安全合作伙伴开放
2014-04-28:细节向核心白帽子及相关领域专家公开
2014-05-08:细节向普通白帽子公开
2014-05-28:细节向实习白帽子公开
2014-07-16:细节向公众公开

简要描述:

Easytalk处理用户数据的时候未足够过滤,导致可以进行权限提升

详细说明:

晚上习惯性的打开代码分析分析函数,看到了这样一处

漏洞文件:

/Easytalk/Home/Lib/Action/GuideAction.class.php

//保存设置,注册用户时候,向导保存设置

    public function doset() {

        $user=M('Users');

$userdata=$_POST["user"];//获取用户提交的所有数据

        // ok,此处的用户userdata数据是来自post的,而并未过滤一些敏感字段



        $userdata["nickname"]= daddslashes(strip_tags(trim($userdata["nickname"])));

$userdata['provinceid']=intval($userdata['provinceid']);

$userdata['cityid']=intval($userdata['cityid']);

        $userdata['user_info']= daddslashes(trim(htmlspecialchars($userdata['user_info'])));

        // 过滤nickname

        if(!preg_match('/^[0-9a-zA-Z\xe0-\xef\x80-\xbf._-]+$/i',$userdata['nickname'])) {

setcookie('setok', json_encode(array('lang'=>L('setting2'),'ico'=>2)),0,'/');

            header('location:'.SITE_URL.'/?m=guide');

            exit;

        }

        

        if (!$userdata['nickname'] || !$userdata['provinceid'] || !$userdata['cityid']) {

setcookie('setok', json_encode(array('lang'=>L('setting1'),'ico'=>2)),0,'/');

            header('location:'.SITE_URL.'/?m=guide');

            exit;

        }

//昵称检测

        if ($userdata['nickname'] && $userdata['nickname']!=$this->my['nickname']) {

            if (StrLenW($userdata['nickname'])<=12 && StrLenW($userdata['nickname'])>=3) {

                $newnickname=$user->where("nickname='$userdata[nickname]'")->find();

                if ($newnickname) {

                    setcookie('setok', json_encode(array('lang'=>L('setting4'),'ico'=>2)),0,'/');

                    header('location:'.SITE_URL.'/?m=guide');

                    exit;

                }

            } else {

                setcookie('setok', json_encode(array('lang'=>L('setting2'),'ico'=>2)),0,'/');

                header('location:'.SITE_URL.'/?m=guide');

                exit;

            }

        }

        // var_dump($userdata);die;

        $user->where("user_id='".$this->my['user_id']."'")->data($userdata)->save();

        header('location:'.SITE_URL.'/?m=guide&a=followtopic');

    }



漏洞代码,

$userdata=$_POST["user"];//获取用户提交的所有数据,然后进行了一些常规的检测之后,就执行了$user->where("user_id='".$this->my['user_id']."'")->data($userdata)->save();存入数据库了。

这样写的问题是,用户可以自己添加别的字段,而因为此cms管理员表跟普通用户表又在一个表里,(区分的标志是isadmin字段)因而可以造成权限提升



漏洞证明:

注册普通用户,然后来到设置向导里,拦截发送的请求

1.jpg



增加字段user%5Bisadmin%5D=1即可

2.jpg



查看结果

3.jpg



后台getshell不演示了,直接ucenter配置里添加一句话即可

getshell方法见

WooYun: EasyTalk任意文件删除漏洞(可后台getshell)

修复方案:

对于获得的用户数据,我们应当这样,指定获得某个字段的值,

$data['nickname']=safe($_POST['user']['nickname']);然后进行save操作。还有将管理用户表跟普通用户表放在一起,很容易造成权限提升的问题,分开能避免很多。

版权声明:转载请注明来源 Ano_Tom@乌云

漏洞回应 厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-04-18 16:14

厂商回复:

感谢,已经修复了

最新状态:

暂无