### 简要描述: doyo建站程序平行权限问题2处 ### 详细说明: 小伙伴和我看了下doyoCMS的逻辑,交wooyun小伙伴们看看是不是个漏洞 首先出现问题的地方是这段代码 代码位置:/source/member.php function mydel(){//多处逻辑越权操作 $molds=$this->syArgs('molds',1); $id=$this->syArgs('id'); switch ($molds){ case 'comment': if(!syDB('comment')->delete(array('cid'=>$id,'user'=>$this->my['user']))){ message("删除失败,请重新提交"); } break; case 'message': if(!syDB('message')->delete(array('id'=>$id,'user'=>$this->my['user']))){ message("删除失败,请重新提交"); } syDB('message_field')->delete(array('aid'=>$id)); break; default: $c=syDB($molds)->find(array('id'=>$id,'user'=>$this->my['user'],'usertype'=>1),null,'id,isshow'); if(!$c||$c['isshow']==1)message("此内容已经审核或不是您发布的内容,不能删除。"); if(!syDB($molds)->delete(array('id'=>$id,'user'=>$this->my['user'],'usertype'=>1))){ message("删除失败,请重新提交"); } syDB($molds.'_field')->delete(array('aid'=>$id)); break; } $w=array('aid'=>$id,'molds'=>$molds); foreach(syDB('member_file')->findAll($w,null,'url') as $v){@unlink($v['url']);}...
### 简要描述: doyo建站程序平行权限问题2处 ### 详细说明: 小伙伴和我看了下doyoCMS的逻辑,交wooyun小伙伴们看看是不是个漏洞 首先出现问题的地方是这段代码 代码位置:/source/member.php function mydel(){//多处逻辑越权操作 $molds=$this->syArgs('molds',1); $id=$this->syArgs('id'); switch ($molds){ case 'comment': if(!syDB('comment')->delete(array('cid'=>$id,'user'=>$this->my['user']))){ message("删除失败,请重新提交"); } break; case 'message': if(!syDB('message')->delete(array('id'=>$id,'user'=>$this->my['user']))){ message("删除失败,请重新提交"); } syDB('message_field')->delete(array('aid'=>$id)); break; default: $c=syDB($molds)->find(array('id'=>$id,'user'=>$this->my['user'],'usertype'=>1),null,'id,isshow'); if(!$c||$c['isshow']==1)message("此内容已经审核或不是您发布的内容,不能删除。"); if(!syDB($molds)->delete(array('id'=>$id,'user'=>$this->my['user'],'usertype'=>1))){ message("删除失败,请重新提交"); } syDB($molds.'_field')->delete(array('aid'=>$id)); break; } $w=array('aid'=>$id,'molds'=>$molds); foreach(syDB('member_file')->findAll($w,null,'url') as $v){@unlink($v['url']);} syDB('member_file')->delete($w); message("删除成功"); } 这么看不方便,我上一张图: [<img src="https://images.seebug.org/upload/201503/081124270ef1d4db1a6ea5db5613a8269af09802.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/081124270ef1d4db1a6ea5db5613a8269af09802.png) 代码从URL获得了$molds $id两个变量 然后进入判断,问题在设计逻辑上,假如$molds被赋值为comment 进入308行case,后面无论id等于多少语句不会出错,所以就会执行成功,然后跳出,进入328行,这时候molds固定,而id是可控的,所以数据库member_file中的数据就会被人为控制删掉,并且数据库链接中的实际图片文件也会别unlink掉 验证一下: 首先注册用户,登陆之 查看数据库 [<img src="https://images.seebug.org/upload/201503/0811260871e35cf56189cf6e09bbcb84846e21cc.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/0811260871e35cf56189cf6e09bbcb84846e21cc.png) 删除aid=11的图片 [<img src="https://images.seebug.org/upload/201503/08112655e5355e10788d7088ada9522b86fed464.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/08112655e5355e10788d7088ada9522b86fed464.png) 结果 [<img src="https://images.seebug.org/upload/201503/08112728767e752d85adde7e5428f9bb2a344bba.png" alt="4.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/08112728767e752d85adde7e5428f9bb2a344bba.png) 验证了我的猜想 说他越权原因在于,这个数据库存放的资源uid是隶属于不同人的,也就是说在删除的时候没有考虑uid,这里uid很明显0,也就是管理员的uid,里面的图片也是管理员放的产品图片,所以可以认为是越权操作,利用其可以删除别人的图片资源,导致网站丢图。 同理,这个地方还有另一处越权操作 访问如图链接: [<img src="https://images.seebug.org/upload/201503/08112804f3b1021377632b4295142886ad99c747.png" alt="5.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/08112804f3b1021377632b4295142886ad99c747.png) 删除message的同时,可以随意删掉别人的应聘请求(这个地方是字段属于应聘请求数据) [<img src="https://images.seebug.org/upload/201503/08112845ba93bf29a3c6feea59ff4702f8bdaaef.png" alt="6.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/08112845ba93bf29a3c6feea59ff4702f8bdaaef.png) 如果说上一处还存在争议,这一处绝对没有问题。实测可用。 ### 漏洞证明: 如上图片,太难贴图就不贴了
