CMSTOP媒体云&政务版一处越权

2015-11-11T00:00:00
ID SSV:96144
Type seebug
Reporter Root
Modified 2015-11-11T00:00:00

Description

简要描述:

RT

详细说明:

厂商官网:http://.../ CMSTOP产品覆盖面较广

CmsTop 媒体版 面向媒体提供“PC站+手机站+手机端+平板端”多终端一体化新媒体技术解决方案,助力媒体融合转型。 媒体云 CmsTop 媒体云 作为媒体云时代的开创者,思拓合众颠覆了传统的软件采购和项目外包模式,与传媒集团建立战略合作伙伴关系,以互联网思维和云计算技术为基础整合集团、区域和行业内的媒体及政务新媒体资源,共同建设和运营媒体云。 政务版 CmsTop 政务版 面向党政部门提供多终端一体化的网站群私有云技术解决方案,助力党政部门打造“两微一端”政务新媒体。

在线演示站点:

http://**.**.**.**/

越权出在角色删除地方 1、登录用户 2、设置 3、打开角色 这里选择移除角色 burp拦截,修改roleid为任意存在roleid即可删除他人角色

<img src="https://images.seebug.org/upload/201510/141502362b6a690912e4377cff592e935682bdd1.png" alt="1014-2.png" width="600" onerror="javascript:errimg(this);">

这里我测试的时候注册了两个用户账户A和账户B,分别记下对应它们的roleid,然后退出账户A,然后在另一个账户(账户B)中移除角色【修改roleid为账户A的roleid】,返回

{"state":true}

移除成功 再一次登陆账户A发现我的角色已经没有了。截图证明见漏洞证明

漏洞证明:

<img src="https://images.seebug.org/upload/201510/14150218a2304ec1972332ce722d8034af1ec343.png" alt="1014-1.png" width="600" onerror="javascript:errimg(this);">

我想要删除账户A中roleid为7378的角色test23

<img src="https://images.seebug.org/upload/201510/141510041aedfa103aac50444ff05a9a7bc6c7a0.png" alt="1014-4.png" width="600" onerror="javascript:errimg(this);">

这里我们把包drop掉,在账户B中做删除7378的操作

<img src="https://images.seebug.org/upload/201510/141509475a5e3eeb4fa12c37b5d4bf6d2357b51b.png" alt="1014-3.png" width="600" onerror="javascript:errimg(this);">

<img src="https://images.seebug.org/upload/201510/14151315df8f89e37607b8ae82ed3bc95b9b644e.png" alt="1014-6.png" width="600" onerror="javascript:errimg(this);">

我们退出账户A,登陆账户B

<img src="https://images.seebug.org/upload/201510/14151928817574f2bd7a82bcc50ee05a1d016e07.png" alt="1014-10.png" width="600" onerror="javascript:errimg(this);">

在账户B中随意拦截一个删除角色的数据包repeater即可

<img src="https://images.seebug.org/upload/201510/14151243655de2e46e165ff9d67d053832080202.png" alt="1014-5.png" width="600" onerror="javascript:errimg(this);">

<img src="https://images.seebug.org/upload/201510/14151452dfcd50a91093846f01b92bb81a957524.png" alt="1014-7.png" width="600" onerror="javascript:errimg(this);">

<img src="https://images.seebug.org/upload/201510/1415145712840af512ccd37165dc3629c9397e6c.png" alt="1014-8.png" width="600" onerror="javascript:errimg(this);">

再次登陆账户A 看看角色test23还在不在

<img src="https://images.seebug.org/upload/201510/141516210c8c44203bbffaebedea83f401b5589e.png" alt="1014-9.png" width="600" onerror="javascript:errimg(this);">

测试到此足以证明