Dedecms on 诗与胡说

DedeCMS V5.7 SP2 第二处缺陷可重置管理员密码

Fri, 19 Jan 2018 15:20:32 +0000

0x01 概述

上回分析的dede重置密码漏洞有一定局限性，一是只能影响没有设置密保问题的用户，二是不能重置管理员admin的密码，原因当时也说了，管理员信息存在另一个表dede_admin中，而且管理员默认不允许从前台登录，所以就算更改了dede_member里admin的密码也没法登录。但是前几天又有一个缺陷被爆出来，可以绕过一些判断条件从而从前台登录管理员账户，配合上一个重置密码漏洞，可以达到从前台修改dede_admin表里是密码，也就是真正修改了管理员密码。

下面来简单分析一下

0x02 漏洞分析

先来看一下DedeCMS判断登录用户的逻辑 include/memberlogin.class.php:292

function IsLogin()
{
    if($this->M_ID > 0) return TRUE;
    else return FALSE;
}

跟进$this->M_ID看一下，170行

$this->M_ID = $this->GetNum(GetCookie("DedeUserID"));

GetNum()include/memberlogin.class.php:398

/**
*  获取整数值
*
* @access    public
* @param     string  $fnum  处理的数值
* @return    string
*/
function GetNum($fnum){
    $fnum = preg_replace("/[^0-9\.]/", '', $fnum);
    return $fnum;
}

正则匹配，去除了数字以外的字符，这里就可以构造一个利用点，一会儿再看

看一下GetCookie() include/helpers/cookie.helper.php:54

关键点在这个判断条件

if($_COOKIE[$key.'__ckMd5'] != substr(md5($cfg_cookie_encode.$_COOKIE[$key]),0,16))

就是说从cookie中取到DedeUserID__ckMd5值，与md5($cfg_cookie_encode.$_COOKIE[$key])取前16位比较，相等才能进行下一步

我们知道admin的DedeUserID为1，现在需要知道DedeUserID__ckMd5的值

其实再思考一下，就算我们不知道admin的DedeUserID__ckMd5值，只要能过这个if条件就能绕过接着往下走了，那我们可不可以利用其他用户来绕过if条件呢？

在本程序中从数据库取用户的过程其实很简单，就是简单的查询语句Select * From #@__member where mid='$mid'。当我们利用其他用户的cookie通过了上面的if判断，然后修改mid为admin的id(1)，就可以从前台登录到admin账户。那么如何在请求过程中修改DedeUserID的值让它能和admin的id相等呢？

利用点一

我们使进入GetNum方法的参数为数字1+字母的形式，经过正则替换就会变成1，也就是$this->M_ID的值，然后带入数据库查询

$fnum为1qqqq的情况，经过正则替换后值成为了1

利用点二

在include/memberlogin.class.php:178有这么一行代码

$this->M_ID = intval($this->M_ID);

对$this->M_ID进行了整数类型转换，假设注册一个用户名，经过intval转换后为1就能使查询条件变成Select * From #@__member where mid='1'，也就取出了管理员在dede_member表里的密码，此时配合上一个漏洞，我们已经修改了dede_member中管理员的密码，只要在前台再进行一次修改密码操作，就能真正修改admin的密码。

这是调试的时候注册用户名为0000001的情况，经过intval转换后M_ID的值变成了1

下面看一下如何从前台登录admin账户

在index.php里有一个最近访客记录的功能，

else
{
    require_once(DEDEMEMBER.'/inc/config_space.php');
    if($action == '')
    {
        include_once(DEDEINC."/channelunit.func.php");
        $dpl = new DedeTemplate();
        $tplfile = DEDEMEMBER."/space/{$_vars['spacestyle']}/index.htm";

        //更新最近访客记录及站点统计记录
        $vtime = time();
        $last_vtime = GetCookie('last_vtime');
        $last_vid = GetCookie('last_vid');
        if(empty($last_vtime))
        {
            $last_vtime = 0;
        }
        if($vtime - $last_vtime > 3600 || !preg_match('#,'.$uid.',#i', ','.$last_vid.',') )
        {
            if($last_vid!='')
            {
                $last_vids = explode(',',$last_vid);
                $i = 0;
                $last_vid = $uid;
                foreach($last_vids as $lsid)
                {
                    if($i>10)
                    {
                        break;
                    }
                    else if($lsid != $uid)
                    {
                        $i++;
                        $last_vid .= ','.$last_vid;
                    }
                }
            }
            else
            {
                $last_vid = $uid;
            }
            PutCookie('last_vtime', $vtime, 3600*24, '/');
            PutCookie('last_vid', $last_vid, 3600*24, '/');

else条件是当访问页面http://127.0.0.1/dedecms/uploads/member/index.php?uid=1111传入的uid不为空时进入

当我们传入的last_vid为空的时候，$last_vid = $uid;而uid是我们能控制的，所以我们就能控制传给PutCookie的参数，进入PutCookie方法

if ( ! function_exists('PutCookie'))
{
    function PutCookie($key, $value, $kptime=0, $pa="/")
    {
        global $cfg_cookie_encode,$cfg_domain_cookie;
        setcookie($key, $value, time()+$kptime, $pa,$cfg_domain_cookie);
        setcookie($key.'__ckMd5', substr(md5($cfg_cookie_encode.$value),0,16), time()+$kptime, $pa,$cfg_domain_cookie);
    }
}

在这里设置了last_vid__ckMd5的值

所以攻击流程已经明确了

注册一个普通用户，用户名满足数字1+字母的形式，或者经过intval()后值为1
访问用户主页，记录cookie中last_vid__ckMd5的值
访问index页面，替换cookie中DedeUserID和DedeUserID__ckMd5的值，替换成我们注册的用户名和last_vid__ckMd5，就能登录到前台admin

0x03 漏洞利用

前台注册普通用户，这里注册一个1qqqq
访问/member/index.php?uid=1qqqq，获取last_vid__ckMd5的值
访问/member/index.php，替换DedeUserID和DedeUserID__ckMd5的值可以发现以admin身份成功登录到了前台
同样的，修改密码访问member/edit_baseinfo.php，还是要修改cookie值原登录密码就是我们利用上一个漏洞修改的密码，也就是dede_member表中的admin密码，这样就达到了真正修改admin的密码更新数据库的时候判断如果是管理员，就更新admin表中的数据

0x04 总结

还是判断不够严谨，这回有两处可导致判断条件的绕过，有时候一个漏洞影响力有限的时候也不能轻视，往往配合另一处缺陷就可以造成很大的危害

参考： - https://xianzhi.aliyun.com/forum/topic/1961 - https://xianzhi.aliyun.com/forum/topic/1959

DedeCMS V5.7 SP2 前台任意用户密码重置漏洞分析

Thu, 11 Jan 2018 14:12:17 +0000

0x01 概述

DEDECMS在2018-01-09更新了V5.7 SP2正式版，然后在seebug有人提交存在前台任意用户密码修改漏洞。下面简单分析一下。

0x02 影响版本

2018-01-09及之前的版本

0x03 漏洞分析

问题出现在member/resetpassword.php75行:

else if($dopost == "safequestion")
{
    $mid = preg_replace("#[^0-9]#", "", $id);
    $sql = "SELECT safequestion,safeanswer,userid,email FROM #@__member WHERE mid = '$mid'";
    $row = $db->GetOne($sql);
    if(empty($safequestion)) $safequestion = '';

    if(empty($safeanswer)) $safeanswer = '';

    if($row['safequestion'] == $safequestion && $row['safeanswer'] == $safeanswer)
    {
        sn($mid, $row['userid'], $row['email'], 'N');
        exit();
    }
    else
    {
        ShowMsg("对不起，您的安全问题或答案回答错误","-1");
        exit();
    }
}

重置密码的时候需要进入sn函数，在这之前进行if判断if($row['safequestion'] == $safequestion && $row['safeanswer'] == $safeanswer) 当用户没有设置安全问题和答案时$row['safeanswer']为0，后面一个条件成立，所以只要前面$row['safequestion'] == $safequestion成立就可以进入sn函数

此时默认的$row['safequestion']即为0，我们可以控制的变量是$safequestion，在此之前还需经过if(empty($safequestion)) $safequestion = '';判断，如果这个if成立即当$safequestion = ''时就不能通过前半个if判断了，所以我们要让$safequestion不为空而且让'0' == $safequestion成立

下面来看php中弱类型转换问题

可以看到当我们传进0.0时，empty($safequestion)就不成立了，而$row['safequestion'] == $safequestion即'0' == '0.0'成立，所以可以进入sn方法。除了'0.0'，'0.' '0e123'等都可以绕过这个判断，因为0en被认为是0的n次方

跟进sn方法

从数据库取出一个临时密码SELECT * FROM #@__pwd_tmp WHERE mid = '$mid'，这里的mid我们可以控制，如果用户存在，发送含有临时密码的邮件，并且有个10分钟的限制(这里为了调试方便我把时间缩短了)

跟进newmail函数

可以看到$randval是一个8位随机字符串，而且先进行了md5再插入到数据库，理论上我们不好破解，但是注意85行和98行的return ShowMsg('稍后跳转到修改页', $cfg_basehost . $cfg_memberurl . "/resetpassword.php?dopost=getpasswd&id=" . $mid . "&key=" . $randval);，把含有$randval的链接直接返回显示在页面上，所以这里就没有必要去猜这个临时密码。有了这个临时密码就可以重置任意用户的密码。

0x04 漏洞利用

我们先注册一个用户，然后构造一个请求，GET /dedecms/uploads/member/resetpassword.php?i=0.0&dopost=safequestion&safequestion=0e123&safeanswer=&id=1，发送后可以看到页面跳转，然后返回含有key的链接，

利用这个key可以进入重置密码流程，简单看一下

重置密码/member/resetpassword.php?dopost=getpasswd&id=5

先从dede_pwd_tmp表取出mid为5的临时密码

与传入的临时密码MD5比较，通过验证就更新用户表dede_member为新的密码，同时删除临时密码

这样我们就可以重置任意用户的密码了——除了管理员，因为管理员信息存在另一个表dede_admin中，而且管理员默认不允许从前台登录，所以就算更改了dede_member里admin的密码也没法登录。

0x05 总结

总的来说这个漏洞不算复杂，关键点就是php弱类型安全问题，这个已经有很多案例了，同时页面跳转的过程中泄露了临时的key，实际中一个尽量避免这种关键的参数泄露。

参考：https://www.seebug.org/vuldb/ssvid-97074