thinksaas2.2beta 越权修改置顶删除任意小组帖子

2014-10-14T00:00:00
ID SSV:94325
Type seebug
Reporter Root
Modified 2014-10-14T00:00:00

Description

简要描述:

已经被很多前辈找过很多了。但是越权这种类型没有统一一次性的防御方案。只能在每个操作的点进行权限验证,一旦出现遗漏就会存在问题。ps:thinksaas厂商比较友好开放,所以来凑个热闹。

详细说明:

这次出问题的点在groupapp的topicmove.php

<img src="https://images.seebug.org/upload/201410/1016032901116281270a7df5843992c96e860d42.jpg" alt="选区_026.jpg" width="600" onerror="javascript:errimg(this);">

没有进行权限验证,所以用户可以将任意帖子移动到任意小组当中。这样子看起来危害不是很大,不过后来想到可以将任意帖子移动到自己建立的小组中进行编辑,删除,置顶,加精等操作,之后再移动回以前的小组,从而实现了对任意帖子的任意操作。在任意小组发表置顶贴之类的操作。相当于具有了所有小组管理员的一个权限。 这里采用test12 和admin两个账户建立多个小组,test11模拟进行越权测试。直接post帖子id和目的小组id,可以将帖子移动到任意小组。移动到自己建立的小组就有了编辑管理的权限。

<img src="https://images.seebug.org/upload/201410/10160427a7adb3f3a394901e4f0d62002c602d36.jpg" alt="选区_023.jpg" width="600" onerror="javascript:errimg(this);">

使用test11用户发送如下请求,即可移动帖子。将id为7的帖子移动到小组id为3的小组中。

<img src="https://images.seebug.org/upload/201410/1016225711ae7584ae16733112146398353fa1af.jpg" alt="选区_027.jpg" width="600" onerror="javascript:errimg(this);">

<img src="https://images.seebug.org/upload/201410/10160926c6a31b1d697b4aebdfd3f5139116028a.jpg" alt="选区_025.jpg" width="600" onerror="javascript:errimg(this);">

漏洞证明:

<img src="https://images.seebug.org/upload/201410/1016225711ae7584ae16733112146398353fa1af.jpg" alt="选区_027.jpg" width="600" onerror="javascript:errimg(this);">

<img src="https://images.seebug.org/upload/201410/10160926c6a31b1d697b4aebdfd3f5139116028a.jpg" alt="选区_025.jpg" width="600" onerror="javascript:errimg(this);">