vBulletin vB_Api_Hook->decodeArguments RCE 分析

安恒信息

发布于 2018-04-11 15:17:01

9410

发布于 2018-04-11 15:17:01

介绍：

vBulletin是一个国外著名的商业论坛程序。前几天因官网被黑，而被爆出一个命令执行漏洞。

我们最早获得的一篇分析是在Pastie上的http://pastie.org/pastes/10527766/text?key=wq1hgkcj4afb9ipqzllsq，但是经过测试，我们可以确认漏洞存在，但是里面的POC我们在5.1.5版本中却未能测试成功。

分析：

测试版本：vBulletin 5.1.5

1.漏洞出现原因：

文件`/core/vb/api/hook.php`：

在类vB_Api_Hook的类函数decodeArguments中:

直接对`$arguments`参数直接进行反序列化操作，导致漏洞产生。

对于`unserialize`函数何种情况下会产生危害，可以查看：https://www.owasp.org/index.php/PHP_Object_Injection

2.POC：

vBulletin中没有可以直接利用的magic函数，所以我们需要结合多个类使用。

2.1.Pastie中的POC

Pastie中_cutz给出的是利用重写`vB_Database`类中的`$functions['free_result']`,然后通过`vB_dB_Result`类来调用。

2.1.1.类vB_Database

类`vB_Database`的声明在文件`/core/vb/database.php`中，里面有这么一个类函数：

`$queryresult`变量可控，只要我们能重写`$this->functions['free_result']`，就能执行任意函数。

比如`$this→functions['free_result']='system'`，`$queryresult='ifconfig'`，这样`return @$this→functions['free_result']($queryresult)`就变成了`return @system('ifconfig')`。

然后通过`unserialize`函数，我们可以直接重写`$this->functions['free_result']`，也就是_cutz给出的：

然后我们需要找个调用`vB_Database->free_result($queryresult)`的类。

2.1.2.类vB_dB_Result

类`vB_dB_Result`在文件`/core/vb/db/result.php`中。

里面有两个magic函数，__construct()和__destruct()。

调用到`vB_Database->free_result($queryresult)`的有两个类函数，`rewind()`和`free()`。

我们可以看到连个magic函数都间接调用到了`vB_Database->free_result($queryresult)`。

我们测试`unserialize`为类时，`__construct`并不会被执行，而`__desctruct`会执行。

那我们利用`__destruct`可以吗？

但是`__destruct->free`里面有`if (isset($this->db) AND !empty($this->recordset) AND is_resource($this->recordset))`，`is_resource($this->recordset)`这个不好绕过，即使绕过了，当我们调用 `vB_Database->free_result($queryresult)->$this->functions['free_result']($queryresult)`时，`$queryresult`参数也不好操作。

但是vB_dB_Result类实现了（implements）Iterator类，Iterator在foreach中会自动调用rewind函数（http://php.net/manual/zh/class.iterator.php）。在vB_Api_Hook类的decodeArguments函数里就有对$args的foreach操作($args = @unserialize($arguments))。

2.1.3.利用

*首先从vB_Database类开始:

$this->functions['free_result']:重写为我们想要的函数，如phpinfo, system等