内容简介:帝国CMS简称Empire CMS,当前的最新版本为7.5,个人空间可以匿名留言和登录留言,由于权限控制不当,可以伪造任意用户登录留言,1. 查看代码文件,插入留言的时候,从getcvar(‘mluserid’)获取uid,然后当$uid存在时候再从getcvar(‘mlusername’)获取用户名,最后再进行插入留言,如果uid不存在的话,就设置uid=0,就是匿名留言了。
*本文作者:q601333824,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。
概述
帝国CMS简称Empire CMS,当前的最新版本为7.5,个人空间可以匿名留言和登录留言,由于权限控制不当,可以伪造任意用户登录留言, 自己无聊挖着玩的东西,喜欢的可以自己复现玩玩。
相关环境
源码信息:EmpireCMS_7.5_SC_UTF8
漏洞类型:越权
下载地址:http://www.phome.net/download/
漏洞文件:/e/member/mspace/gbookfun.php
漏洞分析
1. 查看代码文件,插入留言的时候,从getcvar(‘mluserid’)获取uid,然后当$uid存在时候再从getcvar(‘mlusername’)获取用户名,最后再进行插入留言,如果uid不存在的话,就设置uid=0,就是匿名留言了。
2. 最后再查看getcvar函数的定义,参数的来源是从$_COOKIE里面取出来了,前缀+$_COOKIE的值。
3. 看到这里有的人就可以想到利用方法了,这个时候只要构造mluserid和mlusername参数就可以伪造任意用户登录留言了。
利用方法
1. 先获取$_COOKIE参数需要的前缀,打开浏览器就可以知道$_COOKIE的前缀是啥玩意了,我本地的$_COOKIE的前缀是ugbve。
2. 然后在控制台运行document.cookie=’ugbvemluserid=1;path=/’和document.cookie=’ugbvemlusername=admin;path=/’,指定COOKIE为根目录,因为留言页面和提交接口不在同一个目录,如果不设置根目录,接口获取不到COOKIE的(不用这个方法也可以自己抓包修改COOKIE就行,我懒得打开burpsuite,所以直接在控制台运行了)。
6. 这个时候在别人空间留言,都会以登录状态的admin,进行留言了,测试效果,刚才的留言是以admin的身份进行的留言,并且可以点击查看对方的空间。
最后总结
1. 其实就是判断是不是匿名留言的时候,没有判断用户是否是真的登录状态而进行留言。
2. 漏洞挖挖总还是有的。
修复建议
1. 从_COOKIE取出用户uid的时候,这个位置少了判断用户是否在登录状态下留言,想修复的同志,可以在这个位置加上登录判断。
*本文作者:q601333824,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。
以上所述就是小编给大家介绍的《代码审计之Empire CMS v7.5个人空间伪造任意用户留言》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- 跨站请求伪造已死!
- 跨站请求伪造 (CSRF) 攻击
- 跨站请求伪造已经死了!(译文)
- Windows凭证的伪造和窃取技术总结
- 跨站点请求伪造(CSRF)总结和防御
- 客户端伪造 cookie 的方法和防范
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
区块链核心算法解析
【瑞士】Roger Wattenhofer(罗格.瓦唐霍费尔) / 陈晋川、薛云志、林强、祝庆 / 电子工业出版社 / 2017-8 / 59.00
《区块链核心算法解析》介绍了构建容错的分布式系统所需的基础技术,以及一系列允许容错的协议和算法,并且讨论一些实现了这些技术的实际系统。 《区块链核心算法解析》中的主要概念将独立成章。每一章都以一个小故事开始,从而引出该章节的内容。算法、协议和定义都将以形式化的方式描述,以便于读者理解如何实现。部分结论会在定理中予以证明,这样读者就可以明白为什么这些概念或算法是正确的,并且理解它们可以确保实现......一起来看看 《区块链核心算法解析》 这本书的介绍吧!