PHPWind passport_client.php文件UPDATE参数远程SQL注入漏洞

基本字段

漏洞编号：: SSV-4343

披露/发现时间：: 未知

提交时间：: 2008-10-27

漏洞等级：

漏洞类别：: SQL 注入

影响组件：: PHPWind
(5.01,5.3)

漏洞作者：: 未知

提交者：: Knownsec

CVE-ID：: 补充

CNNVD-ID：: 补充

CNVD-ID：: 补充

ZoomEye Dork：: 补充

来源

漏洞详情

贡献者 Knownsec 共获得 0.3KB

PHPWind的实现上存在变量过滤漏洞，远程攻击者可能利用此漏洞执行SQL注入攻击，非授权操作数据库，完全控制论坛。 PHPWind的passport_client.php文件里变量没有初始化，可以通过构造特定的变量值判断： <code>if(!$passport_ifopen || $passport_type != 'client'){ exit("Passport closed(PHPWind)"); }//可以提交“passport_ifopen =1&passport_type=client”绕过 if(md5($action.$userdb.$forward.$passport_key) != $verify){ exit('Illegal request(PHPWind)'); } //里面的变量都可以自定义绕过 parse_str(StrCode($userdb,'DECODE'),$userdb); //需要调用StrCode($userdb,'DECODE')编码一下 if($action=='login'){//提交action=login if(!$userdb['time'] || !$userdb['username'] || !$userdb['password']){ exit("Lack of parameters(PHPWind)"); }//$userdb解码需要包含这些数据 if($timestamp-$userdb['time']>3600){ exit('Passport request expired(PHPWind)'); }//提交时间userdb['time'] 大一点 ..... $rt=$db->get_one("SELECT uid $sql FROM pw_members WHERE username='$userdb[username]'"); if($rt){ //如果有这个用户的话调用如下语句修改密码 $sql && $db->update("UPDATE pw_members SET $sql WHERE uid='$rt[uid]'"); $sql2 && $db->update("UPDATE pw_memberdata SET $sql2 WHERE uid='$rt[uid]'"); }else{//如果没有那个用户就会调用如下语句增加一个 $db->update("REPLACE INTO pw_members($sql1,groupid,memberid,gender,regdate,signchange) VALUES($sql2,'-1','8','0','$timestamp','1')");</code> PHPWind的实现上存在变量过滤漏洞，远程攻击者可能利用此漏洞执行SQL注入攻击，非授权操作数据库，完全控制论坛。 PHPWind的passport_client.php文件里变量没有初始化，可以通过构造特定的变量值判断： <pre class="prettyprint linenums">if(!$passport_ifopen || $passport_type != 'client'){ exit("Passport closed(PHPWind)"); }//可以提交“passport_ifopen =1&passport_type=client”绕过 if(md5($action.$userdb.$forward.$passport_key) != $verify){ exit('Illegal request(PHPWind)'); } //里面的变量都可以自定义绕过 parse_str(StrCode($userdb,'DECODE'),$userdb); //需要调用StrCode($userdb,'DECODE')编码一下 if($action=='login'){//提交action=login if(!$userdb['time'] || !$userdb['username'] || !$userdb['password']){ exit("Lack of parameters(PHPWind)"); }//$userdb解码需要包含这些数据 if($timestamp-$userdb['time']>3600){ exit('Passport request expired(PHPWind)'); }//提交时间userdb['time'] 大一点 ..... $rt=$db->get_one("SELECT uid $sql FROM pw_members WHERE username='$userdb[username]'"); if($rt){ //如果有这个用户的话调用如下语句修改密码 $sql && $db->update("UPDATE pw_members SET $sql WHERE uid='$rt[uid]'"); $sql2 && $db->update("UPDATE pw_memberdata SET $sql2 WHERE uid='$rt[uid]'"); }else{//如果没有那个用户就会调用如下语句增加一个 $db->update("REPLACE INTO pw_members($sql1,groupid,memberid,gender,regdate,signchange) VALUES($sql2,'-1','8','0','$timestamp','1')");</pre> PHPWind 5.01 - 5.3 PHPWind ------- 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本： <a href=http://www.phpwind.net/ target=_blank>http://www.phpwind.net/</a>