Sablog-X2.0后台管理权限欺骗漏洞解析

前不久80vul.com公布了sax2.0的一个漏洞,随后4ngel发布了补丁,不过权限验证部分的代码还是存在问题,下面就来简单说说这个漏洞:D

cp.php

if (!$sax_uid || !$sax_pw || !$sax_logincount || !$sax_hash) {  
// 只要这个条件不满足,就可以通过后台的权限验证了  
    loginpage();  
}  
...  
if ($sax_group == 1) {  
// 如果要获得管理员权限,还必须保证$sax_group的值为1  
... 

下面来看下这几个变量是怎么来的

common.inc.php

list($sax_uid, $sax_pw, $sax_logincount) = $_COOKIE[\'sax_auth\'] ? explode("t", authcode($_COOKIE[\'sax_auth\'], \'DECODE\')) : array(\'\', \'\', \'\');  
// authcode()就是简单的调用base64_decode  
$sax_hash = sax_addslashes($_COOKIE[\'sax_hash\']);  
// 这些变量来自$_COOKIE,是可以控制的:)  
// 不过后面的代码在一定条件下会通过extract($_EVO)来重新注册这些变量  
 
$sax_uid = intval($sax_uid);  
$sax_pw = sax_addslashes($sax_pw);  
$sax_logincount = intval($sax_logincount);  
$sax_group = 4;  
// 默认的值为4,而我们需要的值是1  
$_EVO = array();  
// 这里是fix那个变量覆盖的漏洞:)  
 
$seccode = $sessionexists = 0;  
$userfields = \'u.userid AS sax_uid, u.username AS sax_user, u.password AS sax_pw, u.groupid AS sax_group, u.logincount AS sax_logincount, u.email as sax_email, u.url as sax_url, u.lastpost, u.lastip, u.lastvisit, u.lastactivity\';  
// 这里定义的字段包括sax_user、sax_pw、sax_group、sax_logincount,这些都是后台权限验证时要用到的  
if ($sax_hash) {  
    if ($sax_uid && $sax_pw) {  
// 流程[1]  
// 这里会查询sax_group,但如果我们想让查询出的值为1[也就是说查询出管理员的信息],就必须知道管理员的sax_hash、sax_pw、sax_logincount等多个值  
        $query = $DB->query("SELECT s.hash, s.seccode, $userfields 
            FROM {$db_prefix}users u  
            LEFT JOIN {$db_prefix}sessions s ON (s.uid = u.userid)  
            WHERE s.hash=\'$sax_hash\' AND u.userid=\'$sax_uid\' AND CONCAT_WS(\'.\',s.ip1,s.ip2,s.ip3,s.ip4)=\'$onlineip\' 
            AND u.password=\'$sax_pw\' AND u.logincount=\'$sax_logincount\' AND s.auth_key=\'$sax_auth_key\'");  
    } else {  
        $query = $DB->query("SELECT hash,uid as sessionuid,groupid,seccode,lastactivity FROM {$db_prefix}sessions WHERE hash=\'$sax_hash\' AND CONCAT_WS(\'.\',ip1,ip2,ip3,ip4)=\'$onlineip\' LIMIT 1");  
// 流程[2]  
// 如果我们知道管理员的sax_hash和onlineip,就可以使下面的$_EVO[\'sessionuid\']的值为管理员的id  
    }  
    if ($_EVO = $DB->fetch_array($query)){  
        $sessionexists = 1;  
        if