其他 用Discuz后台程序漏洞案例为例简单分析一下安全性

[复制链接]
建站高手 发表于 2016-9-13 21:02:45 [其他] 显示全部楼层 |阅读模式 上一主题 下一主题

马上注册,一起探讨正确快速的建站方法

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
discuz是一款流行的论坛程序,笔者这里就以它的后台程序为例简单分析一下其安全性,下面直接看一些漏洞案例(Discuz最新版本已打补丁)。

案例一:用户输入数据过滤逻辑不当
漏洞文件:X3\source\admincp\admincp_setting.php
分析:
// 1、alice修改$settingnew['extcredits']非数组

  1. if(is_array($settingnew['extcredits'])) {
  2. foreach($settingnew['extcredits'] as $key => $value) {
复制代码


// 2、给$settingnew['initcredits'][1]传入phpinfo();,非数组绕过intval转换

  1. $settingnew['initcredits'][$i] = intval($settingnew['initcredits'][$i]);
  2. ... 省略 ...
  3. for($i = 1; $i <= 8; $i++) {
复制代码


// 3、 phpinfo();被赋值给$initformula

  1. $initformula = str_replace('extcredits'.$i, $settingnew['initcredits'][$i], $initformula);
  2. }
复制代码


// 4、phpinfo()带入eval执行

  1. eval("\$_G['setting']['initcredits'] = round($initformula);");
复制代码


案例二:二次注入
        简单介绍一下二次注入,恶意用户alice在A处传入恶意数据并被存储到数据库,在A处不直接导致安全问题;B处引用到A处存储的数据,从而触发安全问题。
漏洞文件:X3\source\admincp\admincp_setting.php
分析:
// 1、alice上传一个图片木马假设为1.gif; alice设置$settingnew['seccodedata']['type']值为1.gif\0:xx(根据图片地址做适当目录跳转);该值未作任何过滤存入数据库

  1. if($settingnew['seccodedata']['type'] == 0 || $settingnew['seccodedata']['type'] == 2) {
  2. $seccoderoot = 'static/image/seccode/font/en/';
  3. } elseif($settingnew['seccodedata']['type'] == 1) {
  4. $seccoderoot = 'static/image/seccode/font/ch/';
  5. }
复制代码

漏洞文件:source\module\misc\misc_seccode.php

// 2、$_G['setting']['seccodedata']['type']值来自于数据库,即为1处传入的1.gif\0:xx

  1. if(!is_numeric($_G['setting']['seccodedata']['type'])) {
  2. $etype = explode(':', $_G['setting']['seccodedata']['type']);
  3. if(count($etype) > 1) {
复制代码


// 3、 \0截断得到$codefile为图片小马(也可使用././././多个路径符方法截断)

  1. $codefile = DISCUZ_ROOT.'./source/plugin/'.$etype[0].'/seccode/seccode_'.$etype[1].'.php';
  2. ... 省略 ...
  3. if(file_exists($codefile)) {
复制代码


// 4、图片木马被include得到webshell

@include_once $codefile;

案例三:程序升级新增逻辑导致的漏洞
漏洞文件:X3\source\admincp\admincp_adv.php
// 1、alice上传一个图片木马假设为1.gif; alice传入type参数值为1.gif\0:xx(根据图片地址做适当目录跳转)

  1. $type = $_GET['type'];
  2. ... ...
  3. if($type) {
复制代码

//2、得到$etype为1.gif\0

  1. $etype = explode(':', $type);
  2. if(count($etype) > 1) {
复制代码


//3、$advfile值被\0截断,为图片木马路径1.gif

  1. $advfile = DISCUZ_ROOT.'./source/plugin/'.$etype[0].'/adv/adv_'.$etype[1].'.php';
  2. $advclass = 'adv_'.$etype[1];
  3. }
  4. ... 省略 ...
复制代码

//4、包含图片木马,得到webshell

  1. if(file_exists($advfile)) {
  2. require_once $advfile;
复制代码


对比下X2.5版本的逻辑,此处漏洞完全是因为新增代码导致的。

  1. $type = $_GET['type'];
  2. $target = $_GET['target'];
  3. $typeadd = '';
  4. if($type) {
  5. $advfile = libfile('adv/'.$type, 'class');
  6. if(file_exists($advfile)) {
  7. require_once $advfile;
复制代码


案例四:漏洞修补不完善
漏洞文件:X3\api\uc.php
分析:
//1、config_ucenter.php内容部分截取如下:define('UC_API', 'http://localhost/bbs/uc_server');

  1. $configfile = trim(file_get_contents(DISCUZ_ROOT.'./config/config_ucenter.php'));
  2. ... ...
复制代码


//2、$UC_AP外部可控,alice传入$UC_API的值为xyz');eval($_POST[cmd];得到$configfile值为define('UC_API', 'xyz\');eval($_POST[cmd];'); xyz后面的引号被转义。

  1. $configfile=preg_replace("/define\('UC_API',\s*'.*?'\);/i","define('UC_API','".addslashes($UC_API)."');", $configfile);
复制代码


//3、将define('UC_API', 'xyz\');eval($_POST[cmd];');写入配置文件

  1. if($fp = @fopen(DISCUZ_ROOT.'./config/config_ucenter.php', 'w')) {
  2.        @fwrite($fp, trim($configfile));
  3.        @fclose($fp);
  4. }
复制代码

//4、alice再次传入$UC_API的值为xyz,preg_replace使用的正则表达式是define\('UC_API',\s*'.*?'\); .*?'非贪婪匹配,匹配到第一个引号结束,之前的转义符被替换xyz\替换为xyz,从而得到$configfile值为define('UC_API', 'xyz');eval($_POST[cmd];');写入配置文件得到webshell。

上面这些例子主要是笔者实践经验的一些总结,不一定全面,希望能给大家拓展一些思路;比如上述提到的二次注入,$settingnew['seccodedata']['type']这个变量没过滤,$settingnew的其他数组也可能没过滤,也确实存在多处类似的问题,大家可以自行去尝试一下。关于代码审计的方法主要有两个大方向:(1)危险函数向上追踪输入;(2)追踪用户输入是否进入危险函数;这里的危险函数关于危险函数主要包括代码执行相关:eval、assert,文件包含:include、require等,命令执行:system、exec等,写文件:fwrite、file_put_contents等;
代码审计的方法这里推荐两篇文章:
https://code.google.com/p/pasc2at/wiki/SimplifiedChinese
http://wenku.baidu.com/view/c85be95a3b3567ec102d8a12.html

反思
1、一切输入都是有害的;
后台程序的用户输入相比前台主要增加了后台表单的数据,此外有些后台支持上传文件(如dz1.5的自定义sql),上传文件的内容也属于输入;这些输入都属于用户范围。一定要做严格的控制和过滤。
2、安全意识;
其实很多漏洞的产生并不是技术问题导致的,而是我们缺乏安全意识,不重视安全而酿成的惨剧。尤其是第三个和第四个,完全不应该发生;需要对开发人员做安全宣导和基本的安全培训。
3、漏洞Review;
(1)开发人员收到漏洞后要对漏洞产生的原因做总结,并Review代码中是否有类似的问题。有些时候开发人员仅仅是修补了安全人员或白帽子提供的漏洞点,另外一处代码有类似的问题没修补继续爆出漏洞,无穷无尽。这样做还会带来更大的隐患,黑客是非常乐意并擅长总结反思的,每一个补丁其实也是给黑客拓展了思路,如果修补不完全后果很严重。
(2)开发人员修补完成后安全人员需要进行测试确认,上述的案例四就是鲜明的例子。有条件的情况下安全人员应该整理一些常见漏洞修复指引,这样也可以提高工作效率。




上一篇:Discuz后台 文件misc_seccode.php包含漏洞
下一篇:Discuz!X3.2游客看小图功能导致图片后文字内容不显示的解决方法
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

快速回复 返回顶部 返回列表