转载

SRCMS 多处越权+权限提升管理员漏洞

现代cms框架（laraval/symfony/slim）的出现，导致现今的php漏洞出现点、原理、利用方法，发生了一些变化，这个系列希望可以总结一下自己挖掘的此类cms漏洞。

今天这个漏洞是SRCMS 里由于Model的不合理使用造成的多处越权漏洞。

首先，我简要说明一下漏洞原理。

【漏洞源码下载： https://mega.nz/#!4UxCTaxJ!DpVvhBPK7YE9D_jdFQ0CjQ1ylJ4sQws-CT3LIJ5AA8Y 】

今天在 http://zone.wooyun.org/content/25144 里看到SRCMS更新了，其实之前一段时间就star了这套源码，但一直没看。因为我要写这个系列（现代框架系列），所以这次我下载源码进行了阅读。

在挖漏洞之前，先表示我对代码作者的感谢，感谢作者贡献了一套优秀的代码。漏洞是所有程序在所难免的，所以不必有什么心理压力。

SRCMS是一个开源的企业安全应急响应中心，基于ThinkPHP框架开发。我将ThinkPHP归为半现代框架，因为它在近些年的发展中已经越来越多地引入现代化的一些元素（命名空间、ORM等）。当然也由于这些元素的引入，将会造成一些以前写代码不会遇到的安全问题。

这里这个漏洞就是因为SRCMS不合理使用ORM（或者说是框架的Model），造成了越权。

0x01 ThinkPHP特性造成的越权漏洞

首先说一个半传统的漏洞，这个漏洞是由ThinkPHP特性造成的。/Application/User/Controller/PostController.class.php:77

/** *查看漏洞报告 */ public function view(){     $id = session('userId');     $rid = I('get.rid',0,'intval');     $model = M("Post");    $post = $model->where('user_id='.$id)->where('id='.$rid)->find();     $tmodel= M('setting');     $title = $tmodel->where('id=1')->select();     $this->assign('title', $title);    $this->assign('model', $post);    $this->display(); }

view函数存在一个越权查看他人漏洞报告的漏洞，为什么？他这里明明有 where('user_id='.$id) ，查询了user_id的呀？

这里还是涉及到thinkphp一个常见错误（特性）。很多开发者没好好看文档，原因其实文档里已经明确说明了：

SRCMS 多处越权+权限提升管理员漏洞

虽说ThinkPHP支持where函数的多次调用。但如果条件是字符串的话，就只能出现一次，如果出现多次的话，将只取最后一个。查看SQL日志，可以发现果然没有where user_id这个条件。

SRCMS 多处越权+权限提升管理员漏洞

第一个越权漏洞产生：『查看任意漏洞』， http://localhost/srcms/user.php?m=User&c=post&a=view&rid=1

SRCMS 多处越权+权限提升管理员漏洞

修复方法吧，我觉得还是得将字符串型where条件换成数组型。不知道这个开发者是为了挑战黑客还是为了体验ThinkPHP的功能，很多地方专门使用字符型拼接作为where的参数（虽然不存在SQL注入漏洞），这样我觉得是不合适的。由于作者使用的方法依旧是字符串拼接，所以我认为这个漏洞不能算『新型PHP安全漏洞』，只能说是在框架架构下产生的传统漏洞。

0x02 Model误用造成的越权漏洞

那么来个真正的新型php安全漏洞吧。

这个问题点造成的漏洞有很多处，我就以『更新联系方式』这个功能来讲解。

/Application/User/Controller/InfoController.class.php:56

public function update() {     //默认显示添加表单     $id = session('userId');     if (!IS_POST) {         $info = M('info')->where('user_id='.$id)->select();         $this->assign('info',$info);         $this->display();     }     if (IS_POST) {         //如果用户提交数据         $model = D("info");         $model->user_id = 1;         $model->username = 1;         if (!$model->create()) {             // 如果创建失败 表示验证没有通过 输出错误提示信息             $this->error($model->getError());             exit();         } else {             if ($model->save()) {                 $this->success("更新成功", U('info/index'));             } else {                 $this->error("更新失败");             }         }     } }

这里作者使用了一种类似于ORM的数据库更新手段，来自动获取表单中的数据create()，并更新进数据库save()。我们查看create函数：

public function create($data='',$type='') {    // 如果没有传值默认取POST数据    if(empty($data)) {        $data   =   I('post.');    }elseif(is_object($data)){        $data   =   get_object_vars($data);    }    // 验证数据    if(empty($data) || !is_array($data)) {        $this->error = L('_DATA_TYPE_INVALID_');        return false;    }        // 状态    $type = $type?:(!empty($data[$this->getPk()])?self::MODEL_UPDATE:self::MODEL_INSERT);     ...     // 创建完成对数据进行自动处理    $this->autoOperation($data,$type);    // 赋值当前数据对象    $this->data =   $data;    // 返回创建的数据以供其他调用    return $data; }

加入第一个参数$data为空，则自己从 I('post.') 获取，实际上就是从POST数据中读取。

然后中间经过了很多处理，传入autoOperation方法，我们跟进一下autoOperation方法：

private function autoOperation(&$data,$type) {     if(!empty($this->options['auto'])) {         $_auto   =   $this->options['auto'];         unset($this->options['auto']);     }elseif(!empty($this->_auto)){         $_auto   =   $this->_auto;     }     // 自动填充     if(isset($_auto)) {         foreach ($_auto as $auto){             // 填充因子定义格式             // array('field','填充内容','填充条件','附加规则',[额外参数])             if(empty($auto[2])) $auto[2] =  self::MODEL_INSERT; // 默认为新增的时候自动填充             if( $type == $auto[2] || $auto[2] == self::MODEL_BOTH) {                 if(empty($auto[3])) $auto[3] =  'string';                 switch(trim($auto[3])) {                     case 'function':    //  使用函数进行填充 字段的值作为参数                     case 'callback': // 使用回调方法                         $args = isset($auto[4])?(array)$auto[4]:array();                         if(isset($data[$auto[0]])) {                             array_unshift($args,$data[$auto[0]]);                         }                         if('function'==$auto[3]) {                             $data[$auto[0]]  = call_user_func_array($auto[1], $args);                         }else{                             $data[$auto[0]]  =  call_user_func_array(array(&$this,$auto[1]), $args);                         }                         break;                     case 'field':    // 用其它字段的值进行填充                         $data[$auto[0]] = $data[$auto[1]];                         break;                     case 'ignore': // 为空忽略                         if($auto[1]===$data[$auto[0]])                             unset($data[$auto[0]]);                         break;                     case 'string':                     default: // 默认作为字符串填充                         $data[$auto[0]] = $auto[1];                 }                 if(isset($data[$auto[0]]) && false === $data[$auto[0]] )   unset($data[$auto[0]]);             }         }     }     return $data; }

这是个自动填入条件的方法，依据的的是具体model里_auto这个数组的值来确定，我们看看InfoModel.class.php里是怎么定义的：

<?php namespace User/Model; use Think/Model; class InfoModel extends Model{          protected $_validate = array(         array('realname','require','请填写真实姓名'), //默认情况下用正则进行验证         array('zipcode','require','请填写邮编'), //默认情况下用正则进行验证         array('location','require','请填写地址'), //默认情况下用正则进行验证         array('tel','require','请填写联系电话'), //默认情况下用正则进行验证         array('alipay','require','请填写支付宝账号，方便发放现金奖励'), //默认情况下用正则进行验证     );          protected $_auto = array (          array('user_id','getUid',1,'callback'), // 对update_time字段在更新的时候写入当前用户ID         array('username','getUsername',1,'callback'), // 对update_time字段在更新的时候写入当前用户名     );          protected function getUid(){         return session('userId');     }          protected function getUsername(){         return session('username');     } }

可见，这里的user_id绑定了回调函数getUid，而getUid返回的正是当前用户的user_id。

感觉一切都没有错误啊？我们仔细观察这个_auto的第三个参数：1

我们看到第三个参数的定义：

SRCMS 多处越权+权限提升管理员漏洞

1代表的是insert，只有在insert的时候才进行处理。而假设我们传入的POST中有user_id (getPk)，ThinkPHP会自动判断当前type为update，也就是2：

// 状态 $type = $type?:(!empty($data[$this->getPk()])?self::MODEL_UPDATE:self::MODEL_INSERT);

所以在autoOperation方法里，在这个if语句的时候就卡主了，进不去：

//type是update（2），但$auto[2]却是 1, $type==$auto[2]不成立 if( $type == $auto[2] || $auto[2] == self::MODEL_BOTH) {

因为这个if语句进不去，所以实际上user_id没有被程序覆盖掉，我通过POST传入的user_id被保留了。于是，我就可以越权修改任意用户的联系方式。上诉的分析都是我在YY，现在验证一下。首先注册一个test用户（user_id为4），增加联系方式如下：

SRCMS 多处越权+权限提升管理员漏洞

其他用户，登录以后发送如下数据包即可修改user_id=4的联系方式，包括手机号、支付宝等：

SRCMS 多处越权+权限提升管理员漏洞

返回test用户的页面，发现已经被改：

SRCMS 多处越权+权限提升管理员漏洞

这就是一个典型的新型框架的越权漏洞，因为不熟悉框架，在使用框架提供的『新式方法』时，造成了错误。

0x03 横向挖掘 —— 权限提升漏洞（可获取管理员权限）

既然我们这个漏洞是开发者对框架不熟悉造成的，属于是『架构漏洞』，那么srcms里可能并非一处地方存在此漏洞。

存在此类漏洞需要有这个条件：Model中设置的类型与实际执行的SQL类型不同。比如这个漏洞是设置的insert，实际执行的是update。

但我看了下前台，前台大部分地方都是调用的add()进行insert，都能够对上。暂时没发现其他地方存在这个问题，后台我就不看了。

等下，insert？看到这个的时候，我就想到下一步利用方法了。我们看到注册时候的代码：

public function add() {     //默认显示添加表单     if (!IS_POST) {         $this->display();     }     if (IS_POST) {         //如果用户提交数据         $model = D("Member");         if (!$model->create()) {             // 如果创建失败 表示验证没有通过 输出错误提示信息             $this->error($model->getError());             exit();         } else {             if ($model->add()) {                 $this->success("用户添加成功", U('index/index'));             } else {                 $this->error("用户添加失败");             }         }     } }

过程也是create()以后add()，再看到member.class.php

<?php namespace User/Model; use Think/Model; class MemberModel extends Model{     protected $_validate = array(         array('username','require','请填写用户名！'), //默认情况下用正则进行验证         array('email','require','请填写邮箱！'), //默认情况下用正则进行验证         array('email','email','邮箱格式错误！'), //默认情况下用正则进行验证         array('password','require','请填写密码！','','',self::MODEL_INSERT), //默认情况下用正则进行验证         array('repassword','password','确认密码不正确',0,'confirm'), // 验证确认密码是否和密码一致         array('username','','用户名已存在！',0,'unique',self::MODEL_BOTH), // 在新增的时候验证name字段是否唯一         array('email','','邮箱已存在！',0,'unique',self::MODEL_BOTH), // 在新增的时候验证name字段是否唯一     );      protected $_auto = array(         array('password','md5',1,'function') , //添加时用md5函数处理          array('update_at','time',2,'function'), //更新时         array('create_at','time',1,'function'), //新增时         array('login_ip','get_client_ip',3,'function'), //新增时     ); }

可见，并没有对type进行设置，也就是说，我只要传入的POST数据里设置一下我自己的type=2，即可注册一个管理员。测试一下：

SRCMS 多处越权+权限提升管理员漏洞