書寫錯(cuò)誤，導(dǎo)致惡意用戶構(gòu)造語(yǔ)句可以寫入webshell，進(jìn)而控制整個(gè)服務(wù)器。   
前幾個(gè)晚上，把前臺(tái)文件，只要是數(shù)據(jù)庫(kù)調(diào)用中的變量都看了一遍?？纯词遣皇怯羞^濾不嚴(yán)的地方，看完后覺得，過濾不嚴(yán)的地方的確不少，但是都已經(jīng)被單引號(hào)保護(hù)起來了。在php中，如果magic_qoute_gpc=on（默認(rèn)的）編譯器會(huì)自動(dòng)把單引號(hào)等特殊字符轉(zhuǎn)義，而這個(gè)時(shí)候我們想改變程序的執(zhí)行流程是非常困難的。這樣大大的增加了入侵的難度，在某種程度上，也的確保證了其安全。這也是為什么朋友提出一定要在magic_qoute_gpc為on的時(shí)候依然可以利用的要求。如果需要單引號(hào)介入才能利用的漏洞，在Discuz!論壇中基本上是沒什么用處的。   
在把所有文件中數(shù)據(jù)庫(kù)連接的地方讀了一個(gè)遍后，沒找到任何有價(jià)值的東西。這個(gè)時(shí)候思路開始有一點(diǎn)亂了，我在猶豫自己是否應(yīng)該試著從程序員的思維邏輯漏洞下手看看，這就意味著我要去通讀所有代碼，找到程序員在寫程序時(shí)考慮不周全的地方，這種漏洞多半是上下文邏輯關(guān)系錯(cuò)誤，或者是限定不唯一，還有就是一些本來應(yīng)該注意，但管理員卻偏偏忽略的地方。   
想到這里，看來沒什么能偷懶的了，只能通讀代碼。因?yàn)榧热荒繕?biāo)是邏輯錯(cuò)誤，那么就一定要細(xì)看上下文的關(guān)系，所以選擇從入口點(diǎn)開始讀起。入口點(diǎn)就應(yīng)該是logging.php，因?yàn)檫@是登陸的地方，所有人都會(huì)從這里登陸進(jìn)入論壇。上吧！   
老規(guī)矩，我們先來看一段代碼：   
=========codz begin==========   
50 $errorlog = "$username\t".substr($password, 0, 2);   
......   
54 $errorlog .= substr($password, -1)."\t$onlineip\t$timestamp\n";   
55 $password = md5($password);   
56 $query = $db->query("SELECT m.username as discuz_user, m.password as discuz_pw, m.status, m.styleid AS styleidmem, m.lastvisit,  
u.groupid, u.isadmin, u.specifiedusers LIKE '%\t$username\t%' AS specifieduser   
FROM $table_members m LEFT JOIN $table_usergroups u ON u.specifiedusers LIKE '%\t$username\t%' OR (u.status=m.status AND ((u.creditshigher='0' AND u.creditslower='0' AND u.specifiedusers='') OR (m.credit>=u.creditshigher AND m.creditWHERE username='$username' AND password='$password' ORDER BY specifieduser DESC");   
......   
69 if(!$discuz_user)   
{   
70 @$fp = fopen($discuz_root.'./forumdata/illegallog.php', 'a');   
71 @flock($fp, 3);   
72 @fwrite($fp, $errorlog);   
73 @fclose($fp);   
74 showmessage('login_invalid', 'index.php');   
}   
=========codz endz==============   
這段代碼我們來一句一句看看，他先紀(jì)錄輸入的用戶名和密碼，密碼只取前兩位，然后取密碼后一位，并且將ip和時(shí)間一起賦過來。然后去密碼的md5值，放到數(shù)據(jù)庫(kù)中去。如果你認(rèn)為我們可以改變數(shù)據(jù)庫(kù)執(zhí)行語(yǔ)句的操作流程那就錯(cuò)了，面對(duì)單引號(hào)我們沒有什么可以做的（至少是我做不了什么，除非加密）。后面如果用戶名和密碼不對(duì)則將紀(jì)錄下錯(cuò)誤用戶名和密碼到illegallog.php中。整個(gè)這個(gè)記錄錯(cuò)誤密碼的過程中，變量沒有經(jīng)過任何驗(yàn)證，也就是說如果我成心輸入錯(cuò)誤的用戶名，他也不會(huì)作檢查然后直接記錄下來。那么如果我的錯(cuò)誤的用戶名是一個(gè)可執(zhí)行的代碼，他也會(huì)記錄下來。在他記錄下來之后我們?nèi)フ{(diào)用這個(gè)文件就可以形成一個(gè)shell。   
到這里你是不是已經(jīng)興奮了？對(duì)不起，你的興奮無效。我是一點(diǎn)都興奮不起來，因?yàn)槲以谇懊孀x第一遍的時(shí)候，特別注意過Discuz!對(duì)文件句柄的操作，他的確對(duì)個(gè)別變量沒有過濾，但是他在install.php中得初始化的時(shí)候，已經(jīng)給所有用到的以.php結(jié)尾的數(shù)據(jù)文件開始的地方添加了一句：。這是初始化的時(shí)候?qū)懭氲模覀兌紤?yīng)該明白這句話的作用。你無法去調(diào)用你寫入的東西，因?yàn)橐婚_始就已經(jīng)結(jié)束了.這樣顯然是無法成功的。有點(diǎn)煩了，心想不就是5根羊棒么？輸就輸了！一賭氣扔下代碼，自己跑到姥姥的那屋，摟著姥姥撒起嬌來，（在姥姥面前撒嬌、耍賴、搗亂是我最喜歡的事情之一）我在姥姥面前反復(fù)咒罵著Discuz!的變態(tài)，說我自己如何如何認(rèn)真的讀代碼。姥姥并不知道我在說什么，也不在乎我給她搗亂，繼續(xù)看著自己的電視。過了一會(huì)兒，姥姥應(yīng)了一句："你這孩子啊，就是粗心，一點(diǎn)都不心細(xì)，你看你這什么碼（估計(jì)是說代碼）又壞了吧"。我嘎嘎大聲的笑著爬回了自己的屋子。坐在電腦前，喝了杯白開水，冷靜了一下。   
做安全的人細(xì)心，毅力，自學(xué)，善于總結(jié)是非常必要的。回過頭又把logging.php文件重新讀一編，看看有沒有什么自己忽略的地方。文件并不長(zhǎng)，又看了一遍覺得還是沒什么問題。既然這里沒什么問題，思路就放到那句上，這句話是如何寫入的呢？   
于是在install.php中翻到了這段代碼：   
==========codz begin==========   
29 function loginit($log) {   
30 echo '初始化記錄 '.$log;   
31 $fp = @fopen('./forumdata/illegallog.php');   
32 @fwrite($fp, "\n");   
33 @fclose($fp);   
34 result();   
35 }   
......   
1389 loginit('karmalog');   
1390 loginit('illegallog');   
1391 loginit('modslog');   
1392 loginit('cplog');   
1393 dir_clear('./forumdata/templates');   
1394 dir_clear('./forumdata/cache');   
==========codz endz==========   
很顯然，loginit這個(gè)函數(shù)就是在往illegallog.php中寫入這句話。這樣我們就算寫入了代碼也會(huì)因?yàn)槟蔷湓挼拇嬖诙鵁o法調(diào)用執(zhí)行。我們已經(jīng)完全進(jìn)入了一個(gè)死胡同。但我似乎覺得這段代碼哪里有些問題，再仔細(xì)看了一下，那個(gè)fopen看著怎么那么不順眼啊。如果沒記錯(cuò)的話fopen的語(yǔ)法格式應(yīng)該是這樣的：   
resource fopen ( string filename, string mode [, int use_include_path [, resource zcontext]])   
前面兩個(gè)參數(shù)，一個(gè)是文件句柄，或者指定打開哪個(gè)文件。第二個(gè)參數(shù)是指定打開的方式，比如讀還是寫。這里要提醒大家的是這個(gè)兩個(gè)參數(shù)是必選的。比如我們寫入目錄下的Jambalaya.php,我們的語(yǔ)句是這么寫的：fopen('./Jambalya.php','w'),后面那個(gè)打開方式必須選的，否則就會(huì)報(bào)錯(cuò)。可是我們注意到，他的代碼中只有一個(gè)參數(shù)，這樣程序怎么可能正確執(zhí)行呢？   
我們來做一個(gè)試驗(yàn)，創(chuàng)建一個(gè)1.php，寫入如下代碼：   
===========codz begin==========   
$fp = @fopen('./2.php');   
@fwrite($fp, "\n");   
@fclose($fp);   
echo "success!";   
===========codz endz============   
在這里做一個(gè)和Discuz!中的一樣的環(huán)境，如果這個(gè)程序執(zhí)行成功，那么會(huì)在根目錄下產(chǎn)生一個(gè)2.php，而2.php的開頭一行應(yīng)該是，并且屏幕上顯示success,其實(shí)這里的success就是用來讓我們了解程序執(zhí)行所到的位置。我們?cè)趗rl中提交：http://127.0.0.1/myhome/1.php,屏幕上顯示了success，這說明已經(jīng)執(zhí)行到程序的尾部。但是檢查目錄時(shí)發(fā)現(xiàn)并沒有生成名為2.php的文件，也就是說我們寫入失敗了。也許大家會(huì)奇怪，寫入失敗應(yīng)該有出錯(cuò)信息啊。的確應(yīng)該有，但是因?yàn)樵趂open前加上了@，而@在php中是用來抑制所有調(diào)用函數(shù)產(chǎn)生的錯(cuò)誤信息的。換句話說就是即使出錯(cuò)了，也不會(huì)報(bào)錯(cuò)。   
姥姥教訓(xùn)的沒錯(cuò)，我太粗心了！   
假設(shè)一切都是按我的思路走過的話，也就說在安裝初始化的時(shí)候，因?yàn)槟莻€(gè)fopen的錯(cuò)誤使用，所以discuz/forumdata目錄下絕對(duì)不會(huì)產(chǎn)生一個(gè)含有代碼的illegallog.php文件，但是因?yàn)橐种瞥鲥e(cuò)信息，所安裝的時(shí)候會(huì)依然顯示初始化成功，其實(shí)卻并沒有初始化，更沒有產(chǎn)生illegallog.php。而如果這里沒有初始化，也就意味著illegallog.php的產(chǎn)生和初始化將在logging.php中完成。logging.php的初始化并沒有對(duì)文件寫入任何保護(hù)語(yǔ)句或者過濾措施來避免用戶調(diào)用。到這里，一切都明朗了。說得直白一點(diǎn)，也就是因?yàn)閕nstall.php文件錯(cuò)誤的初始化的緣故，我們可以通過logging.php寫入惡意代碼，然后調(diào)用那個(gè)文件來產(chǎn)生一個(gè)shell控制整個(gè)網(wǎng)站。   


Exploit代碼如下   
以下內(nèi)容可能帶有攻擊性，僅供安全研究與教學(xué)之用。使用者風(fēng)險(xiǎn)自負(fù)   

不用注冊(cè)任何賬戶，到登陸頁(yè)面，在登陸用戶名的地方先輸入123456，回車。這里大家可能明白了，密碼前兩位是顯示的，這樣illegallog.php里面保存的就是：   
*****6 127.0.0.1 1022383175   

這就可以查看php的設(shè)置了，我們先看一下register_globals這個(gè)設(shè)置是否為on。（大部分的網(wǎng)站都是on）好，然后我們?cè)诘顷懣谳斎?這里最好不用system()，我在做測(cè)試的時(shí)候很多網(wǎng)站把這個(gè)system()函數(shù)禁用了。   
然后我們調(diào)用http://192.168.0.13/forumdata/illegallog.php?cmd=dir   
前面出來一堆垃圾信息，往最下面看是不是可以看到目錄被列出來了？但是這樣寫入有點(diǎn)麻煩，因?yàn)樵趯?shí)驗(yàn)的時(shí)候，大的網(wǎng)站注冊(cè)用戶有10萬多人，那么這個(gè)文件會(huì)大的出奇，打開速度奇慢。   
那么我們這里其實(shí)還可以這樣寫入，我們把php的shell改成jpg格式的圖片，上傳到主機(jī)。   
在URL中調(diào)用：   
http://192.168.0.13/forumdata/illegallog.p...chments/Jam.php   
然后我們直接提交URL:   
http://192.168.0.13/attachments/Jam.php就?...一個(gè)shell了吧！  

最新評(píng)論