浅谈开源web程序后台的安全性

一、前言

不知怎的最近甚是思念校园生活,思念食堂的炒饭。那时会去各种安全bbs上刷刷帖子,喜欢看别人写的一些关于安全技巧或经验的总结;那时BBS上很多文章标题都是:成功渗透XXX,成功拿下XXX。这里便以一篇入侵菲律宾某大学的文章引出文章的主题,我们先简要看一下过程。大学网站使用了名为joomla的开源web程序,(1)青年使用一个joomla已经公开的漏洞进入web后台(2)青年使用joomla后台上传限制不严的缺陷上传了一个webshell(3)控制主机赠送我国国旗。

原来入侵一台主机如此容易,管理员果断给web程序打上安全补丁。管理员的工作是结束了,作为安全从业人员再一想是不是joomla后台这里可以上传webshell是不是有问题呢,如果joomla后台不能上传webshell,是不是可以减少入侵的可能和损失。下面进入本文的主题:web后台程序的安全性。

二、简介

国内很多站点都是基于开源论坛、cms搭建的,比如discuz、phpwind、dedecms等。这些程序都是国内开源web程序中的佼佼者,也比较注重安全性。平时大家关注比较多的是sql注入、xss这些可以直接窃取用户数据的漏洞。网上因为弱口令被入侵的案例数不胜数,此外用户数据泄漏事件时而发生,单纯靠密码防护的后台被突破,被社工的可能性越来越大。获取一个管理后台密码后,再结合后台程序的任意代码执行、文件包含或命令注入等漏洞得到一个shell,窃取用户资料不是什么难事。此时后台程序的安全性成为一个短板。

Discuz是一款流行的论坛程序,笔者这里就以它的后台程序为例简单分析一下其安全性,下面直接看一些漏洞案例(Discuz最新版本已打补丁)。

三、案例分析

Tips:下文提到的$settingnew是discuz后台存储表单数据的变量,后台用户可控。

案例一:用户输入数据过滤逻辑不当

漏洞文件:X3\source\admincp\admincp_setting.php

分析:

// 1、alice修改$settingnew['extcredits']非数组

if(is_array($settingnew['extcredits'])) {foreach($settingnew['extcredits'] as $key => $value) {

// 2、给$settingnew['initcredits'][1]传入phpinfo();,非数组绕过intval转换

$settingnew['initcredits'][$i] = intval($settingnew['initcredits'][$i]);... 省略 ...
for($i = 1; $i <= 8; $i++) {

// 3、 phpinfo();被赋值给$initformula

$initformula = str_replace('extcredits'.$i, $settingnew['initcredits'][$i], $initformula);}

// 4、phpinfo()带入eval执行

eval("\$_G['setting']['initcredits'] = round($initformula);");

案例二:二次注入

简单介绍一下二次注入,恶意用户alice在A处传入恶意数据并被存储到数据库,在A处不直接导致安全问题;B处引用到A处存储的数据,从而触发安全问题。

漏洞文件:X3\source\admincp\admincp_setting.php

分析:

// 1、alice上传一个图片木马假设为1.gif; alice设置$settingnew['seccodedata']['type']值为1.gif\0:xx(根据图片地址做适当目录跳转);该值未作任何过滤存入数据库

if($settingnew['seccodedata']['type'] == 0 || $settingnew['seccodedata']['type'] == 2) 
{$seccoderoot = 'static/image/seccode/font/en/';} 
    elseif($settingnew['seccodedata']['type'] == 1) {
    $seccoderoot = 'static/image/seccode/font/ch/';
}

漏洞文件:source\module\misc\misc_seccode.php // 2、$_G['setting']['seccodedata']['type']值来自于数据库,即为1处传入的1.gif\0:xx

if(!is_numeric($_G['setting']['seccodedata']['type']))
 {$etype = explode(':', $_G['setting']['seccodedata']['type']);
 if(count($etype) > 1) {

// 3、 \0截断得到$codefile为图片小马(也可使用././././多个路径符方法截断)

$codefile = DISCUZ_ROOT.'./source/plugin/'.$etype[0].'/seccode/seccode_'.$etype[1].'.php';... 省略 ...
if(file_exists($codefile)) {

// 4、图片木马被include得到webshell

@include_once $codefile;

案例三:程序升级新增逻辑导致的漏洞

漏洞文件:X3\source\admincp\admincp_adv.php

// 1、alice上传一个图片木马假设为1.gif; alice传入type参数值为1.gif\0:xx(根据图片地址做适当目录跳转)

$type = $_GET['type'];
... ...
if($type) {

//2、得到$etype为1.gif\0

$etype = explode(':', $type);
if(count($etype) > 1) {

//3、$advfile值被\0截断,为图片木马路径1.gif

$advfile = DISCUZ_ROOT.'./source/plugin/'.$etype[0].'/adv/adv_'.$etype[1].'.php';
$advclass = 'adv_'.$etype[1];}... 省略 ...

//4、包含图片木马,得到webshell

if(file_exists($advfile)) {require_once $advfile;

对比下X2.5版本的逻辑,此处漏洞完全是因为新增代码导致的。

$type = $_GET['type'];$target = $_GET['target'];$typeadd = '';
if($type) {$advfile = libfile('adv/'.$type, 'class');if(file_exists($advfile)) {require_once $advfile;

案例四:漏洞修补不完善

漏洞文件:X3\api\uc.php

分析:

//1、config_ucenter.php内容部分截取如下:define('UC_API', 'http://localhost/bbs/uc_server');

$configfile = trim(file_get_contents(DISCUZ_ROOT.'./config/config_ucenter.php'));... ...

//2、$UC_AP外部可控,alice传入$UC_API的值为xyz');eval($_POST[cmd];得到$configfile值为define('UC_API', 'xyz\');eval($_POST[cmd];'); xyz后面的引号被转义。

$configfile=preg_replace("/define\('UC_API',\s*'.*?'\);/i",
"define('UC_API','".addslashes($UC_API)."');", $configfile);

//3、将define('UC_API', 'xyz\');eval($_POST[cmd];');写入配置文件

if($fp = @fopen(DISCUZ_ROOT.'./config/config_ucenter.php', 'w')) 
{       @fwrite($fp, trim($configfile));       @fclose($fp);}

//4、alice再次传入$UC_API的值为xyz,preg_replace使用的正则表达式是define\('UC_API',\s*'.*?'\); .*?'非贪婪匹配,匹配到第一个引号结束,之前的转义符被替换xyz\替换为xyz,从而得到$configfile值为define('UC_API', 'xyz');eval($_POST[cmd];');写入配置文件得到webshell。

这个问题早在2010年外部已经公开,官方已及时发出补丁 详情请参考:http://www.oldjun.com/blog/index.php/archives/76/

四、总结

上面这些例子主要是笔者实践经验的一些总结,不一定全面,希望能给大家拓展一些思路;比如上述提到的二次注入,$settingnew['seccodedata']['type']这个变量没过滤,$settingnew的其他数组也可能没过滤,也确实存在多处类似的问题,大家可以自行去尝试一下。关于代码审计的方法主要有两个大方向:(1)危险函数向上追踪输入;(2)追踪用户输入是否进入危险函数;这里的危险函数关于危险函数主要包括代码执行相关:eval、assert,文件包含:include、require等,命令执行:system、exec等,写文件:fwrite、file_put_contents等;

代码审计的方法这里推荐两篇文章

https://code.google.com/p/pasc2at/wiki/SimplifiedChinese

http://wenku.baidu.com/view/c85be95a3b3567ec102d8a12.html

五、反思

1、一切输入都是有害的;

后台程序的用户输入相比前台主要增加了后台表单的数据,此外有些后台支持上传文件(如dz1.5的自定义sql),上传文件的内容也属于输入;这些输入都属于用户范围。一定要做严格的控制和过滤。

2、安全意识;

其实很多漏洞的产生并不是技术问题导致的,而是我们缺乏安全意识,不重视安全而酿成的惨剧。尤其是第三个和第四个,完全不应该发生;需要对开发人员做安全宣导和基本的安全培训。

3、漏洞Review;

(1)开发人员收到漏洞后要对漏洞产生的原因做总结,并Review代码中是否有类似的问题。有些时候开发人员仅仅是修补了安全人员或白帽子提供的漏洞点,另外一处代码有类似的问题没修补继续爆出漏洞,无穷无尽。这样做还会带来更大的隐患,黑客是非常乐意并擅长总结反思的,每一个补丁其实也是给黑客拓展了思路,如果修补不完全后果很严重。

(2)开发人员修补完成后安全人员需要进行测试确认,上述的案例四就是鲜明的例子。有条件的情况下安全人员应该整理一些常见漏洞修复指引,这样也可以提高工作效率。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2014-02-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒信息

邮箱安全服务专题 | 发现那些对钓鱼邮件安全意识淡薄的员工

上一期我们介绍了针对邮箱应用层和协议层面的安全检测,目前针对邮箱系统自身风险的服务内容已经向大家介绍完了。然而保障了邮箱自身的系统安全还是远远不够的,每一篇邮件...

495100
来自专栏FreeBuf

“撬锁”实战:绕过云锁提权某游戏私服

朋友给我了我一个游戏私服的shell,说是提权不下服务器,让我帮忙看看。本文仅为大家提供一个思路,这个方法可能很多人知道但是并没有公布到网络。我今天写出来只是为...

21650
来自专栏Seebug漏洞平台

摄像头漏洞挖掘入门教程(固件篇)

据 IT 研究与顾问咨询公司 Gartner 预测[1],2017 年全球物联网设备数量将达到 84 亿,比 2016 年的 64 亿增长31%,而全球人口数量...

44010
来自专栏京东技术

多级缓存设计详解 | 给数据库减负,刻不容缓!

物流研发部架构师,GIS技术部负责人,2012年加入京东,多年一线团队大促备战经验,负责物流研发一些部门的架构工作,专注于低延迟系统设计与海量数据处理。曾负责青...

50460
来自专栏FreeBuf

走近科学 | ”种子“的前世今生

*本文原创作者:追影人 0x00 前言 “种子”是生命的起点,是未来的希望,同时也解决了无数宅男腐女的寂寞时光。本文将带领各位童鞋了解BT种子(torrent)...

297100
来自专栏逻辑熊猫带你玩Python

Linux | “搭建verilog学习环境”

写这一篇文章的初衷一个是分享给各位想进入IC领域的读者以及感谢一位贵人。VerilogHDL是国内目前最流行的硬件描述语言。关于硬件描述语言的问题,这里并不多谈...

1.6K30
来自专栏农夫安全

Linux下Arp欺骗攻击的另类应用之屌丝泡妞记

本文为小编在新东文章整理中阅读后发现不错,如有侵权联系作者删除 EveryNote 真是个好动西,跨平台的笔记本工具。好到,平时记录一些自己的东西,都懒得在写东...

43180
来自专栏BeJavaGod

分布式系统的那些事儿(四) - MQ时代的通信

之前在讲RPC通信的各种好处,特别好用,但是RPC并不是万能的,也并不是适用于各种场景的,因为他是同步的;现如今很多场景下的调用都是异步的,系统A调用B后,并不...

37940
来自专栏FreeBuf

记一次服务器被入侵的调查取证

*本文原创作者:fish1983,本文属FreeBuf原创奖励计划,未经许可禁止转载

1K10
来自专栏Python中文社区

QQ空间爬虫最新分享,一天 400 万条数据

前言 本文为作者对其开源项目QQSpider的说明文档。主要替换了程序里一些不可用的链接,对登录时的验证码作了处理,对去重队列作了优化。并且可以非常简单地实现爬...

53870

扫码关注云+社区

领取腾讯云代金券