หน้าเว็บ

วันจันทร์ที่ 16 กันยายน พ.ศ. 2556

ช่องโหว่ Blind SQL Injection ใน GCMS


          สวัสดีครับ เนื่องจากวันนี้ว่างหรือไรไม่รู้เลยนั่งหาช่องโหว่จาก CMS ที่พัฒนาโดยคนไทย หลังจากที่โพสถามเพื่อนใน facebook ว่ามี CMS ไหนที่พัฒนาโดยคนไทยและใช้กันเยอะๆบ้าง LoL
          เข้าเรื่องเลยดีกว่า ช่องโหว่นี้คือช่องโหว่ Injection ที่มาเป็นอันดับ 1 ใน Top 10 ของ OWASP 2013 นั่นคือ Blind SQL Injection ครับพบในไฟล์ print.php บรรทัดที่  6-11
 // โมดูลที่ต้องการ
$module = $_GET['module'];
 // ตรวจสอบโมดูลที่เรียก
$sql = "SELECT `id`,`module`,`owner`,`config`";
$sql .= " FROM `".DB_MODULES."` AS M";
$sql .= " WHERE `module`='$module'";
$sql .= " LIMIT 1";
          ซึ่งมีการรับค่า $_GET['module']; มาจาก User มารวมกับคำสั่ง SQL ในตัวแปร $sql จึงสามารถเกิดช่องโหว่ที่ดูข้อมูลส่วนอื่นของฐานข้อมูลได้ ซึ่งการ Query เกิดจากบรรทัดที่ 14 ครับ 
$modules = $db->customQuery($sql);
          ตามไปดูฟังก์ชั่น customQuery ในคลาส class.mysql.php ที่อยู่ใน /bin กันครับ 
public function customQuery($sql) {
 $recArr = array();
 $query = @mysql_query($sql, $this->dbconnection);
 if ($query == false) {
  $this->debug("customQuery($sql)");
 } else {
  $_SESSION[$this->time]++;
  while ($row = mysql_fetch_array($query, MYSQL_ASSOC)) {
   $recArr[] = $row;
  }
  mysql_free_result($query);
 }
 return $recArr;
}
          การโจมตีจะเกิดขึ้นก็ต่อเมื่อมีการ Request คำสั่งที่มี  Malicious SQL Code ไปที่ URL นี้ครับ
http://localhost/gcms/print.php?module=[BSQLI]
          สังเกตบรรทัดที่ 310 จะมีการ Query คำสั่งในตัวแปร $sql ด้วยฟังก์ชั่น mysql_query ครับและมีการ return ค่าผลลัพธ์จากการ Query ที่บรรทัด 315 ด้วยฟังก์ชั่น mysql_fetch_array ครับ
          ผมได้รายงานไปทางผู้พัฒนา gcms แล้วได้รับคำขอบคุณกลับมาและผู้พัฒนาได้ทำการประกาศ patch แล้วครับตามลิงค์นี้ แจ้งข้อผิดพลาด สำหรับ GCMS
          ซึ่งได้รับการป้องกัน Blind SQL Injection ด้วยการใช้ Regular Expression ในการกรอง Input ครับ
if (preg_match('/^[a-z]+$/', $module)) {
  // ตรวจสอบโมดูลที่เรียก
 $sql = "SELECT `id`,`module`,`owner`,`config`";
 $sql .= " FROM `".DB_MODULES."` AS M";
 $sql .= " WHERE `module`='$module'";
 $sql .= " LIMIT 1";
 $modules = $cache->get($sql);
 if (!$modules) {
  $modules = $db->customQuery($sql);
  $cache->save($sql, $modules);
 }
         *ล่าสุดเจอช่องโหว่เดียวกันในไฟล์ feed.php ตั้งแต่บรรทัดที่ 7 เป็นต้นไป (21:58 น.)
$module = $_REQUEST['module'];
 // จำนวนที่ต้องการ ถ้าไม่กำหนด คืนค่า 10 รายการ
 $count = (int)$_GET['rows'] * (int)$_GET['cols'];
 $count = $count == 0 ? (int)$_GET['count'] : $count;
 $count = $count <= 0 ? 10 : $count;
 // วันที่วันนี้
 $cdate = date("D, d M Y H:i:s +0700", $mmktime);
 $today = date('Y-m-d', $mmktime);
 // ตรวจสอบโมดูลที่เรียก
 $sql = "SELECT M.`id`,M.`module`,M.`owner`,D.`topic`,D.`description`,M.`config`";
 $sql .= " FROM `".DB_INDEX."` AS I";
 $sql .= " INNER JOIN `".DB_MODULES."` AS M ON M.`id`=I.`module_id` AND M.`module`='$module'";
 $sql .= " INNER JOIN `".DB_INDEX_DETAIL."` AS D ON D.`id`=I.`id` AND D.`module_id`=I.`module_id` AND D.`language` IN ('".LANGUAGE."','')";
 $sql .= " WHERE I.`module_id`=M.`id` AND I.`index`='1' AND I.`language` IN ('".LANGUAGE."','')";
 $sql .= " AND I.`published`='1' AND I.`published_date`<='$today'";
 $sql .= " LIMIT 1";
 $modules = $db->customQuery($sql);
          สำหรับผู้ที่ใช้ GCMS อย่าลืม Patch ด้วยนะครับ ^^,, ICheer_No0M
ที่

ไม่มีความคิดเห็น:

แสดงความคิดเห็น