Mao10cms最新版本可遍历所有用户id致可CSRF提升自己为管理员

基本字段

漏洞编号：: SSV-95159

披露/发现时间：: 2015-05-18

提交时间：: 2015-05-18

漏洞等级：

漏洞类别：: 其他类型

影响组件：: Mao10CMS

漏洞作者：: 路人甲

提交者：: Knownsec

CVE-ID：: 补充

CNNVD-ID：: 补充

CNVD-ID：: 补充

ZoomEye Dork：: 补充

来源

http://wooyun.org/bugs/wooyun-2015-0114545

漏洞详情

贡献者 Knownsec 共获得 0KB

### 简要描述： Mao10cms最新版本可遍历所有用户id致可CSRF提升自己为管理员测试版本为官方最新版Mao10CMS V3.3.4 ### 详细说明：看到这个 [WooYun: Mao10cms最新版本存在CSRF越权导致管理员发表文章](http://www.wooyun.org/bugs/wooyun-2015-0100943) ，我也来个CSRF，这容易实现，给管理员发条站内信或者留言说自己的商品或网站有问题了，求帮助。热心的管理员就点链接啦。要提升自己为管理员，首先要知道自己的id，mao10cms可以这样获得自己的id，并且可以遍历所有用户（包括管理员）的用户名及id（无需登陆）。在查看商品时，访问链接http://localhost/index.php?m=pro&c=index&a=single&id=1，只要把id从1开始加1遍历就可以得到所有用户（包括管理员）的用户名及id，如图，以管理员为例 [<img src="https://images.seebug.org/upload/201505/162345180d6a51f18600ae06d591154800829daf.jpg" alt="查看用户用户名及id副本.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201505/162345180d6a51f18600ae06d591154800829daf.jpg) 知道了自己的id，那就可以通过CSRF来提升自己为管理员了。 Mao10cms在后台修改用户权限时没有对token或referer进行处理，可以CSRF 看看代码吧 ``` public function manage($page=1){ if(is_numeric($page)) { if(mc_user_id()) { if(mc_is_admin()) { if(is_numeric($_POST['user_level']) && is_numeric($_POST['user_id'])) { if($_POST['user_id']==mc_user_id()) { $this->error('您不能修改自己的身份！',U('Control/index/manage')); } else { mc_update_meta($_POST['user_id'],'user_level',$_POST['user_level'],'user'); $this->success('修改用户身份成功！'); }; } else { $this->page = M('page')->where("type='user'")->order('id desc')->page($page,mc_option('page_size'))->select(); $count = M('page')->where("type='user'")->count(); $this->assign('count',$count); $this->assign('page_now',$page); $this->theme('admin')->display('Control/manage'); } } else { $this->error('您没有权限访问此页面！'); }; } else { $this->success('请先登陆',U('User/login/index')); }; } else { $this->error('参数错误！'); } } ``` POC如下： [<img src="https://images.seebug.org/upload/201505/162347130c75b08252db8a8c3ba341e241afe76c.jpg" alt="POC.JPG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201505/162347130c75b08252db8a8c3ba341e241afe76c.jpg) 修改过程： [<img src="https://images.seebug.org/upload/201505/16234725c6ba2ba25ea52fd447166383ff11f051.jpg" alt="执行的语句副本.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201505/16234725c6ba2ba25ea52fd447166383ff11f051.jpg) 修改成功： [<img src="https://images.seebug.org/upload/201505/16234739c88051f236e1fe678cace786d7775129.jpg" alt="成功副本.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201505/16234739c88051f236e1fe678cace786d7775129.jpg) ### 漏洞证明：见详细说明

共 0 兑换了

PoC

暂无 PoC

参考链接

http://wooyun.org/bugs/wooyun-2015-0114545

解决方案

临时解决方案

暂无临时解决方案

官方解决方案

暂无官方解决方案

防护方案

暂无防护方案

※本站提供的任何内容、代码与服务仅供学习，请勿用于非法用途，否则后果自负

Mao10cms最新版本可遍历所有用户id致可CSRF提升自己为管理员

基本字段

来源

漏洞详情

PoC

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机现在绑定

暂无评论

Mao10cms最新版本可遍历所有用户id致可CSRF提升自己为管理员

基本字段

来源

漏洞详情

PoC

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机 现在绑定

暂无评论

您好，

您好，

评论前需绑定手机现在绑定