書寫錯誤，導(dǎo)致惡意用戶構(gòu)造語句可以寫入webshell，進而控制整個服務(wù)器。   
前幾個晚上，把前臺文件，只要是數(shù)據(jù)庫調(diào)用中的變量都看了一遍。看看是不是有過濾不嚴的地方，看完后覺得，過濾不嚴的地方的確不少，但是都已經(jīng)被單引號保護起來了。在php中，如果magic_qoute_gpc=on（默認的）編譯器會自動把單引號等特殊字符轉(zhuǎn)義，而這個時候我們想改變程序的執(zhí)行流程是非常困難的。這樣大大的增加了入侵的難度，在某種程度上，也的確保證了其安全。這也是為什么朋友提出一定要在magic_qoute_gpc為on的時候依然可以利用的要求。如果需要單引號介入才能利用的漏洞，在Discuz!論壇中基本上是沒什么用處的。   
在把所有文件中數(shù)據(jù)庫連接的地方讀了一個遍后，沒找到任何有價值的東西。這個時候思路開始有一點亂了，我在猶豫自己是否應(yīng)該試著從程序員的思維邏輯漏洞下手看看，這就意味著我要去通讀所有代碼，找到程序員在寫程序時考慮不周全的地方，這種漏洞多半是上下文邏輯關(guān)系錯誤，或者是限定不唯一，還有就是一些本來應(yīng)該注意，但管理員卻偏偏忽略的地方。   
想到這里，看來沒什么能偷懶的了，只能通讀代碼。因為既然目標是邏輯錯誤，那么就一定要細看上下文的關(guān)系，所以選擇從入口點開始讀起。入口點就應(yīng)該是logging.php，因為這是登陸的地方，所有人都會從這里登陸進入論壇。上吧！   
老規(guī)矩，我們先來看一段代碼：   
=========codz begin==========   
50 $errorlog = "$username\t".substr($password, 0, 2);   
......   
54 $errorlog .= substr($password, -1)."\t$onlineip\t$timestamp\n";   
55 $password = md5($password);   
56 $query = $db->query("SELECT m.username as discuz_user, m.password as discuz_pw, m.status, m.styleid AS styleidmem, m.lastvisit,  
u.groupid, u.isadmin, u.specifiedusers LIKE '%\t$username\t%' AS specifieduser   
FROM $table_members m LEFT JOIN $table_usergroups u ON u.specifiedusers LIKE '%\t$username\t%' OR (u.status=m.status AND ((u.creditshigher='0' AND u.creditslower='0' AND u.specifiedusers='') OR (m.credit>=u.creditshigher AND m.creditWHERE username='$username' AND password='$password' ORDER BY specifieduser DESC");   
......   
69 if(!$discuz_user)   
{   
70 @$fp = fopen($discuz_root.'./forumdata/illegallog.php', 'a');   
71 @flock($fp, 3);   
72 @fwrite($fp, $errorlog);   
73 @fclose($fp);   
74 showmessage('login_invalid', 'index.php');   
}   
=========codz endz==============   
這段代碼我們來一句一句看看，他先紀錄輸入的用戶名和密碼，密碼只取前兩位，然后取密碼后一位，并且將ip和時間一起賦過來。然后去密碼的md5值，放到數(shù)據(jù)庫中去。如果你認為我們可以改變數(shù)據(jù)庫執(zhí)行語句的操作流程那就錯了，面對單引號我們沒有什么可以做的（至少是我做不了什么，除非加密）。后面如果用戶名和密碼不對則將紀錄下錯誤用戶名和密碼到illegallog.php中。整個這個記錄錯誤密碼的過程中，變量沒有經(jīng)過任何驗證，也就是說如果我成心輸入錯誤的用戶名，他也不會作檢查然后直接記錄下來。那么如果我的錯誤的用戶名是一個可執(zhí)行的代碼，他也會記錄下來。在他記錄下來之后我們?nèi)フ{(diào)用這個文件就可以形成一個shell。   
到這里你是不是已經(jīng)興奮了？對不起，你的興奮無效。我是一點都興奮不起來，因為我在前面讀第一遍的時候，特別注意過Discuz!對文件句柄的操作，他的確對個別變量沒有過濾，但是他在install.php中得初始化的時候，已經(jīng)給所有用到的以.php結(jié)尾的數(shù)據(jù)文件開始的地方添加了一句：。這是初始化的時候?qū)懭氲?，我們都?yīng)該明白這句話的作用。你無法去調(diào)用你寫入的東西，因為一開始就已經(jīng)結(jié)束了.這樣顯然是無法成功的。有點煩了，心想不就是5根羊棒么？輸就輸了！一賭氣扔下代碼，自己跑到姥姥的那屋，摟著姥姥撒起嬌來，（在姥姥面前撒嬌、耍賴、搗亂是我最喜歡的事情之一）我在姥姥面前反復(fù)咒罵著Discuz!的變態(tài)，說我自己如何如何認真的讀代碼。姥姥并不知道我在說什么，也不在乎我給她搗亂，繼續(xù)看著自己的電視。過了一會兒，姥姥應(yīng)了一句："你這孩子啊，就是粗心，一點都不心細，你看你這什么碼（估計是說代碼）又壞了吧"。我嘎嘎大聲的笑著爬回了自己的屋子。坐在電腦前，喝了杯白開水，冷靜了一下。   
做安全的人細心，毅力，自學(xué)，善于總結(jié)是非常必要的。回過頭又把logging.php文件重新讀一編，看看有沒有什么自己忽略的地方。文件并不長，又看了一遍覺得還是沒什么問題。既然這里沒什么問題，思路就放到那句上，這句話是如何寫入的呢？   
于是在install.php中翻到了這段代碼：   
==========codz begin==========   
29 function loginit($log) {   
30 echo '初始化記錄 '.$log;   
31 $fp = @fopen('./forumdata/illegallog.php');   
32 @fwrite($fp, "\n");   
33 @fclose($fp);   
34 result();   
35 }   
......   
1389 loginit('karmalog');   
1390 loginit('illegallog');   
1391 loginit('modslog');   
1392 loginit('cplog');   
1393 dir_clear('./forumdata/templates');   
1394 dir_clear('./forumdata/cache');   
==========codz endz==========   
很顯然，loginit這個函數(shù)就是在往illegallog.php中寫入這句話。這樣我們就算寫入了代碼也會因為那句話的存在而無法調(diào)用執(zhí)行。我們已經(jīng)完全進入了一個死胡同。但我似乎覺得這段代碼哪里有些問題，再仔細看了一下，那個fopen看著怎么那么不順眼啊。如果沒記錯的話fopen的語法格式應(yīng)該是這樣的：   
resource fopen ( string filename, string mode [, int use_include_path [, resource zcontext]])   
前面兩個參數(shù)，一個是文件句柄，或者指定打開哪個文件。第二個參數(shù)是指定打開的方式，比如讀還是寫。這里要提醒大家的是這個兩個參數(shù)是必選的。比如我們寫入目錄下的Jambalaya.php,我們的語句是這么寫的：fopen('./Jambalya.php','w'),后面那個打開方式必須選的，否則就會報錯。可是我們注意到，他的代碼中只有一個參數(shù)，這樣程序怎么可能正確執(zhí)行呢？   
我們來做一個試驗，創(chuàng)建一個1.php，寫入如下代碼：   
===========codz begin==========   
$fp = @fopen('./2.php');   
@fwrite($fp, "\n");   
@fclose($fp);   
echo "success!";   
===========codz endz============   
在這里做一個和Discuz!中的一樣的環(huán)境，如果這個程序執(zhí)行成功，那么會在根目錄下產(chǎn)生一個2.php，而2.php的開頭一行應(yīng)該是，并且屏幕上顯示success,其實這里的success就是用來讓我們了解程序執(zhí)行所到的位置。我們在url中提交：http://127.0.0.1/myhome/1.php,屏幕上顯示了success，這說明已經(jīng)執(zhí)行到程序的尾部。但是檢查目錄時發(fā)現(xiàn)并沒有生成名為2.php的文件，也就是說我們寫入失敗了。也許大家會奇怪，寫入失敗應(yīng)該有出錯信息啊。的確應(yīng)該有，但是因為在fopen前加上了@，而@在php中是用來抑制所有調(diào)用函數(shù)產(chǎn)生的錯誤信息的。換句話說就是即使出錯了，也不會報錯。   
姥姥教訓(xùn)的沒錯，我太粗心了！   
假設(shè)一切都是按我的思路走過的話，也就說在安裝初始化的時候，因為那個fopen的錯誤使用，所以discuz/forumdata目錄下絕對不會產(chǎn)生一個含有代碼的illegallog.php文件，但是因為抑制出錯信息，所安裝的時候會依然顯示初始化成功，其實卻并沒有初始化，更沒有產(chǎn)生illegallog.php。而如果這里沒有初始化，也就意味著illegallog.php的產(chǎn)生和初始化將在logging.php中完成。logging.php的初始化并沒有對文件寫入任何保護語句或者過濾措施來避免用戶調(diào)用。到這里，一切都明朗了。說得直白一點，也就是因為install.php文件錯誤的初始化的緣故，我們可以通過logging.php寫入惡意代碼，然后調(diào)用那個文件來產(chǎn)生一個shell控制整個網(wǎng)站。   


Exploit代碼如下   
以下內(nèi)容可能帶有攻擊性，僅供安全研究與教學(xué)之用。使用者風(fēng)險自負   

不用注冊任何賬戶，到登陸頁面，在登陸用戶名的地方先輸入123456，回車。這里大家可能明白了，密碼前兩位是顯示的，這樣illegallog.php里面保存的就是：   
*****6 127.0.0.1 1022383175   

這就可以查看php的設(shè)置了，我們先看一下register_globals這個設(shè)置是否為on。（大部分的網(wǎng)站都是on）好，然后我們在登陸口輸入,這里最好不用system()，我在做測試的時候很多網(wǎng)站把這個system()函數(shù)禁用了。   
然后我們調(diào)用http://192.168.0.13/forumdata/illegallog.php?cmd=dir   
前面出來一堆垃圾信息，往最下面看是不是可以看到目錄被列出來了？但是這樣寫入有點麻煩，因為在實驗的時候，大的網(wǎng)站注冊用戶有10萬多人，那么這個文件會大的出奇，打開速度奇慢。   
那么我們這里其實還可以這樣寫入，我們把php的shell改成jpg格式的圖片，上傳到主機。   
在URL中調(diào)用：   
http://192.168.0.13/forumdata/illegallog.p...chments/Jam.php   
然后我們直接提交URL:   
http://192.168.0.13/attachments/Jam.php就?...一個shell了吧！  

最新評論