PHPWind的实现上存在变量过滤漏洞,远程攻击者可能利用此漏洞执行SQL注入攻击,非授权操作数据库,完全控制论坛。 PHPWind的passport_client.php文件里变量没有初始化,可以通过构造特定的变量值判断: <code>if(!$passport_ifopen || $passport_type != 'client'){ exit("Passport closed(PHPWind)"); }//可以提交“passport_ifopen =1&passport_type=client”绕过 if(md5($action.$userdb.$forward.$passport_key) != $verify){ exit('Illegal request(PHPWind)'); } //里面的变量都可以自定义绕过 parse_str(StrCode($userdb,'DECODE'),$userdb); //需要调用StrCode($userdb,'DECODE')编码一下 if($action=='login'){//提交action=login if(!$userdb['time'] || !$userdb['username'] || !$userdb['password']){ exit("Lack of parameters(PHPWind)"); }//$userdb解码需要包含这些数据 if($timestamp-$userdb['time']>3600){ exit('Passport request expired(PHPWind)'); }//提交时间userdb['time'] 大一点 ..... $rt=$db->get_one("SELECT uid $sql FROM pw_members WHERE username='$userdb[username]'"); if($rt){ //如果有这个用户的话调用如下语句修改密码 $sql && $db->update("UPDATE pw_members SET $sql WHERE uid='$rt[uid]'"); $sql2...
PHPWind的实现上存在变量过滤漏洞,远程攻击者可能利用此漏洞执行SQL注入攻击,非授权操作数据库,完全控制论坛。 PHPWind的passport_client.php文件里变量没有初始化,可以通过构造特定的变量值判断: <code>if(!$passport_ifopen || $passport_type != 'client'){ exit("Passport closed(PHPWind)"); }//可以提交“passport_ifopen =1&passport_type=client”绕过 if(md5($action.$userdb.$forward.$passport_key) != $verify){ exit('Illegal request(PHPWind)'); } //里面的变量都可以自定义绕过 parse_str(StrCode($userdb,'DECODE'),$userdb); //需要调用StrCode($userdb,'DECODE')编码一下 if($action=='login'){//提交action=login if(!$userdb['time'] || !$userdb['username'] || !$userdb['password']){ exit("Lack of parameters(PHPWind)"); }//$userdb解码需要包含这些数据 if($timestamp-$userdb['time']>3600){ exit('Passport request expired(PHPWind)'); }//提交时间userdb['time'] 大一点 ..... $rt=$db->get_one("SELECT uid $sql FROM pw_members WHERE username='$userdb[username]'"); if($rt){ //如果有这个用户的话调用如下语句修改密码 $sql && $db->update("UPDATE pw_members SET $sql WHERE uid='$rt[uid]'"); $sql2 && $db->update("UPDATE pw_memberdata SET $sql2 WHERE uid='$rt[uid]'"); }else{//如果没有那个用户就会调用如下语句增加一个 $db->update("REPLACE INTO pw_members($sql1,groupid,memberid,gender,regdate,signchange) VALUES($sql2,'-1','8','0','$timestamp','1')");</code> PHPWind的实现上存在变量过滤漏洞,远程攻击者可能利用此漏洞执行SQL注入攻击,非授权操作数据库,完全控制论坛。 PHPWind的passport_client.php文件里变量没有初始化,可以通过构造特定的变量值判断: <pre class="prettyprint linenums">if(!$passport_ifopen || $passport_type != 'client'){ exit("Passport closed(PHPWind)"); }//可以提交“passport_ifopen =1&passport_type=client”绕过 if(md5($action.$userdb.$forward.$passport_key) != $verify){ exit('Illegal request(PHPWind)'); } //里面的变量都可以自定义绕过 parse_str(StrCode($userdb,'DECODE'),$userdb); //需要调用StrCode($userdb,'DECODE')编码一下 if($action=='login'){//提交action=login if(!$userdb['time'] || !$userdb['username'] || !$userdb['password']){ exit("Lack of parameters(PHPWind)"); }//$userdb解码需要包含这些数据 if($timestamp-$userdb['time']>3600){ exit('Passport request expired(PHPWind)'); }//提交时间userdb['time'] 大一点 ..... $rt=$db->get_one("SELECT uid $sql FROM pw_members WHERE username='$userdb[username]'"); if($rt){ //如果有这个用户的话调用如下语句修改密码 $sql && $db->update("UPDATE pw_members SET $sql WHERE uid='$rt[uid]'"); $sql2 && $db->update("UPDATE pw_memberdata SET $sql2 WHERE uid='$rt[uid]'"); }else{//如果没有那个用户就会调用如下语句增加一个 $db->update("REPLACE INTO pw_members($sql1,groupid,memberid,gender,regdate,signchange) VALUES($sql2,'-1','8','0','$timestamp','1')");</pre> PHPWind 5.01 - 5.3 PHPWind ------- 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: <a href=http://www.phpwind.net/ target=_blank>http://www.phpwind.net/</a>
