代码审计之Empire CMS v7.5个人空间伪造任意用户留言

栏目: 编程工具 · 发布时间: 5年前

内容简介:帝国CMS简称Empire CMS,当前的最新版本为7.5,个人空间可以匿名留言和登录留言,由于权限控制不当,可以伪造任意用户登录留言,1. 查看代码文件,插入留言的时候,从getcvar(‘mluserid’)获取uid,然后当$uid存在时候再从getcvar(‘mlusername’)获取用户名,最后再进行插入留言,如果uid不存在的话,就设置uid=0,就是匿名留言了。

*本文作者:q601333824,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

概述

帝国CMS简称Empire CMS,当前的最新版本为7.5,个人空间可以匿名留言和登录留言,由于权限控制不当,可以伪造任意用户登录留言, 自己无聊挖着玩的东西,喜欢的可以自己复现玩玩。

相关环境

源码信息:EmpireCMS_7.5_SC_UTF8    
漏洞类型:越权
下载地址:http://www.phome.net/download/
漏洞文件:/e/member/mspace/gbookfun.php

漏洞分析

1. 查看代码文件,插入留言的时候,从getcvar(‘mluserid’)获取uid,然后当$uid存在时候再从getcvar(‘mlusername’)获取用户名,最后再进行插入留言,如果uid不存在的话,就设置uid=0,就是匿名留言了。

代码审计之Empire CMS v7.5个人空间伪造任意用户留言

代码审计之Empire CMS v7.5个人空间伪造任意用户留言

2. 最后再查看getcvar函数的定义,参数的来源是从$_COOKIE里面取出来了,前缀+$_COOKIE的值。

代码审计之Empire CMS v7.5个人空间伪造任意用户留言

3. 看到这里有的人就可以想到利用方法了,这个时候只要构造mluserid和mlusername参数就可以伪造任意用户登录留言了。

利用方法

1. 先获取$_COOKIE参数需要的前缀,打开浏览器就可以知道$_COOKIE的前缀是啥玩意了,我本地的$_COOKIE的前缀是ugbve。

代码审计之Empire CMS v7.5个人空间伪造任意用户留言

2. 然后在控制台运行document.cookie=’ugbvemluserid=1;path=/’和document.cookie=’ugbvemlusername=admin;path=/’,指定COOKIE为根目录,因为留言页面和提交接口不在同一个目录,如果不设置根目录,接口获取不到COOKIE的(不用这个方法也可以自己抓包修改COOKIE就行,我懒得打开burpsuite,所以直接在控制台运行了)。

代码审计之Empire CMS v7.5个人空间伪造任意用户留言

代码审计之Empire CMS v7.5个人空间伪造任意用户留言

6. 这个时候在别人空间留言,都会以登录状态的admin,进行留言了,测试效果,刚才的留言是以admin的身份进行的留言,并且可以点击查看对方的空间。

代码审计之Empire CMS v7.5个人空间伪造任意用户留言

最后总结

1. 其实就是判断是不是匿名留言的时候,没有判断用户是否是真的登录状态而进行留言。

2. 漏洞挖挖总还是有的。

修复建议

1. 从_COOKIE取出用户uid的时候,这个位置少了判断用户是否在登录状态下留言,想修复的同志,可以在这个位置加上登录判断。

代码审计之Empire CMS v7.5个人空间伪造任意用户留言

*本文作者:q601333824,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。


以上所述就是小编给大家介绍的《代码审计之Empire CMS v7.5个人空间伪造任意用户留言》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

区块链核心算法解析

区块链核心算法解析

【瑞士】Roger Wattenhofer(罗格.瓦唐霍费尔) / 陈晋川、薛云志、林强、祝庆 / 电子工业出版社 / 2017-8 / 59.00

《区块链核心算法解析》介绍了构建容错的分布式系统所需的基础技术,以及一系列允许容错的协议和算法,并且讨论一些实现了这些技术的实际系统。 《区块链核心算法解析》中的主要概念将独立成章。每一章都以一个小故事开始,从而引出该章节的内容。算法、协议和定义都将以形式化的方式描述,以便于读者理解如何实现。部分结论会在定理中予以证明,这样读者就可以明白为什么这些概念或算法是正确的,并且理解它们可以确保实现......一起来看看 《区块链核心算法解析》 这本书的介绍吧!

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器