[公开漏洞]Easytalk垂直权限问题（逻辑漏洞可提权getshell）

Easytalk垂直权限问题（逻辑漏洞可提权getshell） 相关厂商： nextsns.com 漏洞作者：Ano_Tom 提交时间：2014-04-17 10:50 公开时间：2014-07-16 10:50 漏洞类型：设计缺陷/逻辑错误 危害等级：高 自评Rank：20 漏洞状态： 厂商已经确认 漏洞来源：http://www.wooyun.org Tags标签： 无 漏洞详情 披露状态：

2014-04-17：细节已通知厂商并且等待厂商处理中
2014-04-18：厂商已经确认，细节仅向厂商公开
2014-04-21：细节向第三方安全合作伙伴开放
2014-04-28：细节向核心白帽子及相关领域专家公开
2014-05-08：细节向普通白帽子公开
2014-05-28：细节向实习白帽子公开
2014-07-16：细节向公众公开

简要描述：

Easytalk处理用户数据的时候未足够过滤，导致可以进行权限提升

详细说明：

晚上习惯性的打开代码分析分析函数，看到了这样一处

漏洞文件:

/Easytalk/Home/Lib/Action/GuideAction.class.php

//保存设置,注册用户时候，向导保存设置

    public function doset() {

        $user=M('Users');

$userdata=$_POST["user"];//获取用户提交的所有数据

        // ok，此处的用户userdata数据是来自post的，而并未过滤一些敏感字段



        $userdata["nickname"]= daddslashes(strip_tags(trim($userdata["nickname"])));

$userdata['provinceid']=intval($userdata['provinceid']);

$userdata['cityid']=intval($userdata['cityid']);

        $userdata['user_info']= daddslashes(trim(htmlspecialchars($userdata['user_info'])));

        // 过滤nickname

        if(!preg_match('/^[0-9a-zA-Z\xe0-\xef\x80-\xbf._-]+$/i',$userdata['nickname'])) {

setcookie('setok', json_encode(array('lang'=>L('setting2'),'ico'=>2)),0,'/');

            header('location:'.SITE_URL.'/?m=guide');

            exit;

        }

        

        if (!$userdata['nickname'] || !$userdata['provinceid'] || !$userdata['cityid']) {

setcookie('setok', json_encode(array('lang'=>L('setting1'),'ico'=>2)),0,'/');

            header('location:'.SITE_URL.'/?m=guide');

            exit;

        }

//昵称检测

        if ($userdata['nickname'] && $userdata['nickname']!=$this->my['nickname']) {

            if (StrLenW($userdata['nickname'])<=12 && StrLenW($userdata['nickname'])>=3) {

                $newnickname=$user->where("nickname='$userdata[nickname]'")->find();

                if ($newnickname) {

                    setcookie('setok', json_encode(array('lang'=>L('setting4'),'ico'=>2)),0,'/');

                    header('location:'.SITE_URL.'/?m=guide');

                    exit;

                }

            } else {

                setcookie('setok', json_encode(array('lang'=>L('setting2'),'ico'=>2)),0,'/');

                header('location:'.SITE_URL.'/?m=guide');

                exit;

            }

        }

        // var_dump($userdata);die;

        $user->where("user_id='".$this->my['user_id']."'")->data($userdata)->save();

        header('location:'.SITE_URL.'/?m=guide&a=followtopic');

    }

漏洞代码，

$userdata=$_POST["user"];//获取用户提交的所有数据，然后进行了一些常规的检测之后，就执行了$user->where("user_id='".$this->my['user_id']."'")->data($userdata)->save();存入数据库了。

这样写的问题是，用户可以自己添加别的字段，而因为此cms管理员表跟普通用户表又在一个表里，（区分的标志是isadmin字段）因而可以造成权限提升

漏洞证明：

注册普通用户，然后来到设置向导里，拦截发送的请求

增加字段user%5Bisadmin%5D=1即可

查看结果

后台getshell不演示了，直接ucenter配置里添加一句话即可

getshell方法见

WooYun: EasyTalk任意文件删除漏洞(可后台getshell)

修复方案：

对于获得的用户数据，我们应当这样，指定获得某个字段的值，

$data['nickname']=safe($_POST['user']['nickname']);然后进行save操作。还有将管理用户表跟普通用户表放在一起，很容易造成权限提升的问题，分开能避免很多。

版权声明：转载请注明来源 Ano_Tom@乌云

漏洞回应 厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2014-04-18 16:14

厂商回复：

感谢，已经修复了

最新状态：

暂无