发布日期：2007-04-10
更新日期：2007-04-10

受影响系统：

PHPWind PHPWind 5.01 - 5.3

描述：

---

PHPWind是一款国内比较流行的基于PHP的Web论坛程序。

PHPWind的实现上存在变量过滤漏洞，远程攻击者可能利用此漏洞执行SQL注入攻击，非授权操作数据库，完全控制论坛。

PHPWind的passport_client.php文件里变量没有初始化，可以通过构造特定的变量值判断：

if(!$passport_ifopen || $passport_type != 'client'){
    exit("Passport closed(PHPWind)");
}//可以提交“passport_ifopen =1&passport_type=client”绕过


if(md5($action.$userdb.$forward.$passport_key) != $verify){
    exit('Illegal request(PHPWind)');
} //里面的变量都可以自定义绕过

parse_str(StrCode($userdb,'DECODE'),$userdb); //需要调用StrCode($userdb,'DECODE')编码一下

if($action=='login'){//提交action=login

    if(!$userdb['time'] || !$userdb['username'] || !$userdb['password']){
        exit("Lack of parameters(PHPWind)");
    }//$userdb解码需要包含这些数据

    if($timestamp-$userdb['time']>3600){
        exit('Passport request expired(PHPWind)');
    }//提交时间userdb['time'] 大一点
.....
    $rt=$db->get_one("SELECT uid $sql FROM pw_members WHERE username='$userdb[username]'");
    if($rt){ //如果有这个用户的话调用如下语句修改密码

                $sql  && $db->update("UPDATE pw_members SET $sql WHERE uid='$rt[uid]'");
        $sql2 && $db->update("UPDATE pw_memberdata SET $sql2 WHERE uid='$rt[uid]'");    

          }else{//如果没有那个用户就会调用如下语句增加一个

        $db->update("REPLACE INTO pw_members($sql1,groupid,memberid,gender,regdate,signchange) VALUES($sql2,'-1','8','0','$timestamp','1')");




<*来源：ph4nt0m （http://www.ph4nt0m.org/）
  
  链接：http://my.opera.com/pstgroup/blog/2007/04/07/tips-phpwind-5-01-5-3-0day
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://my.opera.com/pstgroup/blog/2007/04/08/exploit-phpwind5-x-passport-client-php-update-sql-injec
http://www.neeao.com/Blog/attachments/200704/06_154422_pw5expcmd.zip
http://www.neeao.com/Blog/attachments/200704/06_145904_pw5expgui.zip

建议：

---

厂商补丁：

PHPWind
-------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.phpwind.net/

浏览次数：9210
严重程度：0（网友投票）