espcms /public/class_connector.php intval truncation Vul Arbitrary User Login

时间:2022-07-03 08:42:52

catalog

. 漏洞描述

. 漏洞触发条件

. 漏洞影响范围

. 漏洞代码分析

. 防御方法

. 攻防思考

1. 漏洞描述

Relevant Link:
2. 漏洞触发条件
3. 漏洞影响范围
4. 漏洞代码分析

/interface/memebermain.php

function in_center()

{

    if ($this->CON['mem_isucenter'])

    {

        include_once admin_ROOT . 'public/uc_client/client.php';

    }

    parent::start_pagetemplate();

    parent::member_purview();

    $lng = (admin_LNG == 'big5') ? $this->CON['is_lancode'] : admin_LNG;

    //espcms验证用户信息的都是采用cookie验证uid的,只要可以伪造就可以任意登录

    $db_where = "userid=$this->ec_member_username_id AND username='$this->ec_member_username' ";

    $db_table1 = db_prefix . 'member AS a';

    $db_table2 = db_prefix . 'member_value AS b';

    $db_sql = "SELECT * FROM $db_table1 LEFT JOIN $db_table2 ON a.userid = b.userid  WHERE a.userid = $this->ec_member_username_id ";

    $rsMember = $this->db->fetch_first($db_sql);

    $rsMember['userid'] = $this->ec_member_username_id;

    $rsMember['rankname'] = $this->get_member_purview($rsMember['mcid'], 'rankname');

    $userid = intval($rsMember['userid']);

    if (empty($userid)) {

        exit('user err!');

    }

    ..

继续跟踪一下uid的处理方式
/public/class_connector.php

function member_purview($userrank = false, $url = null, $upurl = false)

{

    $this->ec_member_username = $this->fun->eccode($this->fun->accept('ecisp_member_username', 'C'), 'DECODE', db_pscode);

    if (!preg_match("/^[^!@~`\'\"#\$\%\^&\*\(\)\+\-\{\}\[\]\|\\/\?\<\>\,\.\:\;]{2,30}$/i", $this->ec_member_username) && !empty($this->ec_member_username)) {

        $this->fun->setcookie('ecisp_member_username', false);

        $this->fun->setcookie('ecisp_member_info', false);

        $linkURL = $this->get_link('memberlogin', array(), admin_LNG);

        header('location:' . $linkURL);

        exit();

    }

    //用户名是取了cookie的值可以控制

    $user_info = explode('|', $this->fun->eccode($this->fun->accept('ecisp_member_info', 'C'), 'DECODE', db_pscode));

    list($ec_member_username_id, $this->ec_member_alias, $ec_member_integral, $ec_member_mcid, $this->ec_member_email, $this->ec_member_lastip, $this->ec_member_ipadd, $this->ec_member_useragent, $this->ec_member_adminclassurl) = $user_info;

    //黑客利用intvul实现"截断注入"的效果,通过发送一个例如"test4"的账户名,被截断后得到4,黑客利用该特点实现任意用户登录

    $this->ec_member_username_id = intval($ec_member_username_id);

    $this->ec_member_integral = intval($ec_member_integral);

    $this->ec_member_mcid = intval($ec_member_mcid);

    if (empty($this->ec_member_username) && empty($this->ec_member_username_id) && md5(admin_AGENT) != $this->ec_member_useragent && md5(admin_ClassURL) != $this->ec_member_adminclassurl) {

        $this->condition = ;

        if ($url) {

            $this->fun->setcookie('ecisp_login_link', $url, );

        } elseif ($upurl) {

            $nowurl = 'http://' . $_SERVER["HTTP_HOST"] . $this->fun->request_url();

            $this->fun->setcookie('ecisp_login_link', $nowurl, );

        }

        $linkURL = $this->get_link('memberlogin', array(), admin_LNG);

        $mlink = $this->memberlink(array(), admin_LNG);

        $this->callmessage($this->lng['memberloginerr'], $linkURL, $this->lng['memberlogin'], , $this->lng['member_regbotton'], , $mlink['reg']);

    } else {

        $this->condition = ;

        if ($this->ec_member_mcid < $userrank && $userrank) {

            $linkURL = $this->get_link('memberlogin', array(), admin_LNG);

            $this->callmessage($this->lng['memberpuverr'], $linkURL, $this->lng['gobackurlbotton']);

        }

    }

    return $this->condition;

}

Relevant Link:

http://www.wooyun.org/bugs/wooyun-2015-0142913

5. 防御方法

/public/class_connector.php

function member_purview($userrank = false, $url = null, $upurl = false)

{

    $this->ec_member_username = $this->fun->eccode($this->fun->accept('ecisp_member_username', 'C'), 'DECODE', db_pscode);

    if (!preg_match("/^[^!@~`\'\"#\$\%\^&\*\(\)\+\-\{\}\[\]\|\\/\?\<\>\,\.\:\;]{2,30}$/i", $this->ec_member_username) && !empty($this->ec_member_username)) {

        $this->fun->setcookie('ecisp_member_username', false);

        $this->fun->setcookie('ecisp_member_info', false);

        $linkURL = $this->get_link('memberlogin', array(), admin_LNG);

        header('location:' . $linkURL);

        exit();

    }

    //用户名是取了cookie的值可以控制

    $user_info = explode('|', $this->fun->eccode($this->fun->accept('ecisp_member_info', 'C'), 'DECODE', db_pscode));

    list($ec_member_username_id, $this->ec_member_alias, $ec_member_integral, $ec_member_mcid, $this->ec_member_email, $this->ec_member_lastip, $this->ec_member_ipadd, $this->ec_member_useragent, $this->ec_member_adminclassurl) = $user_info;

    /**/

    if (is_numeric($ec_member_username_id) == FALSE)

    {

        die("request error");

    }

    /**/

    //黑客利用intvul实现"截断注入"的效果,通过发送一个例如"test4"的账户名,被截断后得到4,黑客利用该特点实现任意用户登录

    $this->ec_member_username_id = intval($ec_member_username_id);

    $this->ec_member_integral = intval($ec_member_integral);

    $this->ec_member_mcid = intval($ec_member_mcid);

    ...

6. 攻防思考

Copyright (c) 2015 LittleHann All rights reserved

espcms /public/class_connector.php intval truncation Vul Arbitrary User Login的更多相关文章

  1. ecshop &sol;includes&sol;init&period;php Arbitrary User Login Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 对用户输入的cookie,判断免登的逻辑中存在漏洞,导致黑客可以直接通过 ...

  2. espcms会员二次开发文件说明——会员,时间格式

    [espcms会员图片字段] 添加字段加入图片类型/webadm/include/inc_formtypelist.php 会员修改页面模型/webadm/templates/member/membe ...

  3. espcms自定义表单邮件字段

    /include/inc_replace_mailtemplates.php中增加一行就可以了. 如:$replacemail['mailform'][] = array(name => '职位 ...

  4. php代码审计10审计会话认证漏洞

    挖掘经验:遇到的比较多的就是出现在cookie验证上面,通常是没有使用session来认证,直接将用户信息保存在cookie中      Session固定攻击:黑客固定住目标用户的session i ...

  5. 关于BigDecimal 和 double 类型保存金钱,以及精度问题,银行家舍入法

    1. BigDecimal 类型数据 的创建,构造函数 有 public BigDecimal(BigInteger intVal, long val, int scale, int prec); p ...

  6. spring beans源码解读之--Bean的注解&lpar;annotation&rpar;

    随着spring注解的引入,越来越多的开发者开始使用注解,这篇文章将对注解的机制进行串联式的讲解,不求深入透彻,但求串起spring beans注解的珍珠,展示给大家. 1. spring beans ...

  7. Java多线程编程之同步器

    同步器 为每种特定的同步问题提供了解决方案 Semaphore Semaphore[信号标:旗语],通过计数器控制对共享资源的访问. 测试类: package concurrent; import c ...

  8. redis 哈希数据类型简单操作&lpar;实现购物车案例&rpar;

    这里不累赘如何安装redis和php  redis扩展,主要熟悉调用redis哈希数据类型 简单方法操作如下 1:hSet 2:hGet 4:hDel 5:hGetAll 4:hExists 5:hI ...

  9. 2017swpu-ctf总结

    2017swpu-ctf总结 今年是我第一次出题感受很多,就分析几道我印象最深刻的题吧 你能进入后台吗? 这道题主要是考察php_screw还有md5加密开启true过后的注入 phpscrew加密在 ...

随机推荐

  1. mysql 远程访问权限

    MySQL默认没有开启远程访问的权限,需要手动打开,步骤如下: 1.通过命令行登录2.mysql>update user set host = '%' where user = 'root';这 ...

  2. NSCharacterSet 简单用法

    NSCharacterSet 简单用法 NSCharacterSet其实是许多字符或者数字或者符号的组合,在网络处理的时候会用到 NSMutableCharacterSet *base = [NSMu ...

  3. Sublime Text 2结合VS2010配置C C&plus;&plus;编译

    本文参考以下文章 特此谢谢 http://www.cnblogs.com/akira90/archive/2013/01/02/2842571.html 因遇到错误,浪费一个小时才解决 一.利用VS2 ...

  4. SQL Server存储内幕系列

    http://blog.itpub.net/355374/list/1/?cid=75087

  5. Ubuntu 中使用 谷歌日历

    简介 对于经常使用待办类软件的人来说,谷歌日历是个不错的选择.但每次,都要登录网页去查看,对于我这样的懒人来说似乎麻烦了些. 所以在网上找了个叫做 Calendar Indicator 的软件. 效果 ...

  6. WPF实现窗体最小化后小图标在右边任务栏下

    一 基本功能 1. 这里是用 NotifyIcon 控件来实现,但 WPF 下没有 NotifyIcon  控件,怎么办,用 WinForm 下的呗. 先引用  .NET 自带的两个程序集 Syste ...

  7. Python网络编程篇之select和epoll

    1. select 原理 在多路复⽤的模型中, ⽐较常⽤的有select模型和epoll模型. 这两个都是系统接⼝, 由操作系统提供. 当然, Python的select模块进⾏了更⾼级的封装. ⽹络 ...

  8. JVM如何理解Java泛型类

    //泛型代码 public class Pair<T>{ private T first=null; private T second=null; public Pair(T fir,T  ...

  9. Docker常见故障

    — Docker虚拟化故障 — Docker虚拟化主要有三类故障: 应用故障:应用执行状态与预期不一致. 容器故障:无法正确创建.停止.更新容器等. 集群故障:集群创建失败.更新失败.无法连接等. — ...

  10. python中logging模块的用法

    很多程序都有记录日志的需求,并且日志中包含的信息即有正常的程序访问日志,还可能有错误.警告等信息输出,python的logging模块提供了标准的日志接口,你可以通过它存储各种格式的日志,loggin ...

相关文章