- 发布时间: 2014-05-26
- 公开时间: 2014-08-24
- 漏洞类型: SQL注射
- 危害等级: 高
- 漏洞编号: WooYun-2014-62391
- 测试版本:2014-05-21
简要描述
destoon某加密函数缺陷可破解导致注入,
由于字符串加密,所以自带的全局strip_sql gpc等直接无视了
使用不安全的“随机数”的实例
搬个小凳子吧,这个一时半会儿说不完...
详细说明
出问题的是用于cookie加解密的encrypt和decrypt函数
首先看一下函数内容include/global.func.php 122行
function encrypt($txt, $key = '') {
$key or $key = DT_KEY; //DT_KEY是在安装时生成的一个15位随机字符串
$rnd = md5(microtime());//缺陷 下面说
$len = strlen($txt);
$ren = strlen($rnd);
$ctr = 0;
$str = '';
for($i = 0; $i < $len; $i++) {
$ctr = $ctr == $ren ? 0 : $ctr;
$str .= $rnd[$ctr].($txt[$i] ^ $rnd[$ctr++]); //只是简单的按位异或
}
return str_replace('=', '', base64_encode(kecrypt($str, $key)));
}
function decrypt($txt, $key = '') {
$key or $key = DT_KEY; //这里才用到key
$txt = kecrypt(base64_decode($txt), $key);
$len = strlen($txt);
$str = '';
for($i = 0; $i < $len; $i++) {
$tmp = $txt[$i];
$str .= $txt[++$i] ^ $tmp; //也是异或
}
return $str;
}
粗看有随机数、有随机时间值、还做md5hash再异或好像很安全的样子,因为有两个未知key md5(microtime())和DT_KEY
等等 真的是两个么?搜一下microtime()的定义
定义和用法
microtime() 函数返回当前 Unix 时间戳和微秒数。例子
输出
0.25139300 1138197510
时间戳好说 http头中有个date值就是,微秒嘛后面两位固定为00前面有6位不可预知,6位也就是100W个可能,只要穷举100W次肯定有一次是正确的key(不要被100W吓到,本地跑起来是很快的)
再来看encrypt函数 简单表示一下
加密前的原文txt = a
microtime生成的key = b
md5(DT_KEY) = c
最后生成的密文 = d
整个流程简单来说就是
a^b = x
x^c = d
现在b是已知的 如果能找到一个原文和密文的对照 也就是a和d
那就可以通过abd来推算出c 也就是key
destoon很贴心的写了一段正好符合要求的代码
include/module.func.php 140行
function anti_spam($string) {
global $MODULE, $DT;
if($DT['anti_spam'] && preg_match("/^[a-z0-9_@\-\s\/\.\,\(\)\+]+$/i", $string)) {
do {
$tmp = encrypt($string); //加密
if(strpos($tmp, '0x') === false) break;
} while(1);
return '.')
';//输出
} else {
return $string;
}
}
这个函数的功能是“将电话、传真、Email等重要信息显示为图片格式,防止采集和复制”
调用示范
{if $member[mail]}邮件{anti_spam($member[mail])} {/if}
{if $member[telephone]}电话{anti_spam($member[telephone])} {/if}
{if $member[fax]}传真{anti_spam($member[fax])} {/if}
没有比这个更好的输出点了,没有任何干扰。
这里拿官方demo做演示,随便找家公司查看联系方式
http://example.com/contact/
Mon, 26 May 2014 07:12:43 GMT 转成unix时间戳并加8个小时为1401088363
运气不错 15W多次就出来了 总共脚本运行时间大概就2秒
到这里 我们已经拿到了MD5后的DT_KEY,那么怎么来用这个key呢
跑MD5来还原真实的KEY也是一种思路,不过15位大小写+数字的彩虹表还是蛮大的。
回去搜了一下encrypt和decrypt函数的调用,找到了cookie的加解密
module/member/member.class.php 行376
$auth = encrypt($user['userid']."\t".$user['username']."\t".$user['groupid']."\t".$user['password']."\t".$user['admin'], md5(DT_KEY.$_SERVER['HTTP_USER_AGENT']));
set_cookie('auth', $auth, $cookietime);
set_cookie('userid', $user['userid'], $cookietime);
set_cookie('username', $user['username'], $DT_TIME + 86400*365);
登录完成后setcookie的地方,可以看到 cookie是
userid{制表符}username{制表符}groupid{制表符}password{制表符}admin
拼起来然后用
md5(DT_KEY+useragent)作为密钥用encrypt函数做加密的
小伙伴们都知道 user-agent是客户端提交的,如果我提交个空的user-agent,cookie就会用md5(DT_KEY)作为密钥,是不是很眼熟呢,这个就是我们上一步跑出来的东西。
现在我们已经可以伪造出任意合法的cookie了,一般到这里漏洞就要结束了
可惜destoon没想那么简单(已经很麻烦了)把rank给我
我们来看看cookie的验证过程/common.inc.php行135
$destoon_auth = get_cookie('auth');
if($destoon_auth) {
$_dauth = explode("\t", decrypt($destoon_auth, md5(DT_KEY.$_SERVER['HTTP_USER_AGENT'])));//解密也是用的DT_KEY+user-agent
$_userid = isset($_dauth[0]) ? intval($_dauth[0]) : 0;
$_username = isset($_dauth[1]) ? trim($_dauth[1]) : '';
$_groupid = isset($_dauth[2]) ? intval($_dauth[2]) : 3;
$_admin = isset($_dauth[4]) ? intval($_dauth[4]) : 0;
if($_userid && !defined('DT_NONUSER')) {
$_password = isset($_dauth[3]) ? trim($_dauth[3]) : '';
$USER = $db->get_one("SELECT username,passport,company,truename,password,groupid,email,message,chat,sound,online,sms,credit,money,loginip,admin,aid,edittime,trade FROM {$DT_PRE}member WHERE userid=$_userid");
if($USER && $USER['password'] == $_password) { //居然验证密码了...cookie伪造在这里失败了
不死心继续搜索decrypt的调用,终于又发现了一个问题
module/member/admin.inc.php
get_one("SELECT username,passport,company,truename,password,groupid,email,message,chat,sound,online,sms,credit,money,loginip,admin,aid,edittime,trade FROM {$DT_PRE}member WHERE userid=$userid");//userid直接进sql
if($USER) {
$_userid = $userid;
extract($USER, EXTR_PREFIX_ALL, '');
$MG = cache_read('group-'.$_groupid.'.php');
$admin_user = true;
}
}
}
}
?>
很明显的一个注入点,虽然Destoon默认不开启DEBUG,不显示错误信息,但我们一样可以用时间延迟来注入。
来看看注入的条件,首先进入查询的前提是$_groupid == 1
来看这个文件的调用,还是在/common.inc.php行135
$destoon_auth = get_cookie('auth');
if($destoon_auth) {
$_dauth = explode("\t", decrypt($destoon_auth, md5(DT_KEY.$_SERVER['HTTP_USER_AGENT'])));
$_userid = isset($_dauth[0]) ? intval($_dauth[0]) : 0;
$_username = isset($_dauth[1]) ? trim($_dauth[1]) : '';
$_groupid = isset($_dauth[2]) ? intval($_dauth[2]) : 3; //来自cookie 可以伪造
$_admin = isset($_dauth[4]) ? intval($_dauth[4]) : 0;
if($_userid && !defined('DT_NONUSER')) { //如果进入这个if就失败
$_password = isset($_dauth[3]) ? trim($_dauth[3]) : '';
$USER = $db->get_one("SELECT username,passport,company,truename,password,groupid,email,message,chat,sound,online,sms,credit,money,loginip,admin,aid,edittime,trade FROM {$DT_PRE}member WHERE userid=$_userid");
if($USER && $USER['password'] == $_password) {
if($USER['groupid'] == 2) dalert(lang('message->common_forbidden'));
extract($USER, EXTR_PREFIX_ALL, ''); //伪造的groupid被覆盖
if($USER['loginip'] != $DT_IP && ($DT['ip_login'] == 2 || ($DT['ip_login'] == 1 && IN_ADMIN))) {
$_userid = 0; set_cookie('auth', '');
dalert(lang('message->common_login', array($USER['loginip'])), DT_PATH);
}
} else {
$_userid = 0; //置0
if($db->linked && !isset($swfupload) && strpos($_SERVER['HTTP_USER_AGENT'], 'Flash') === false) set_cookie('auth', '');
}
unset($destoon_auth, $USER, $_dauth, $_password);
}
}
if($_userid == 0) { $_groupid = 3; $_username = ''; } //如果userid==0就设置groupid为3
if(!IN_ADMIN) {
if($_groupid == 1) include DT_ROOT.'/module/member/admin.inc.php'; //如果到了这里$_groupid还是1 就包含
这个地方纠结很久 差点都放弃了 不管cookie里userid和groupid改成什么只要流程进了第一个if就废了
userid跟password匹配的话,groupid就会被extract覆盖,userid跟password不匹配的话进入else userid会被置0
不进入这个if的方法 一是userid为false 二就是NT_NONUSER,搜了一下发现一个很合适的文件。
api/js.php
define('DT_NONUSER', true); //符合要求
if($_SERVER['QUERY_STRING']) {
$exprise = isset($_GET['tag_expires']) ? intval($_GET['tag_expires']) : 0;
$moduleid = isset($_GET['moduleid']) ? intval($_GET['moduleid']) : 0;
$moduleid > 3 or exit('document.write("Bad Parameter
");'); //moduleid<3会退出
$tag = $_SERVER['QUERY_STRING'];
$_SERVER['QUERY_STRING'] = $_SERVER['REQUEST_URI'] = '';
foreach($_GET as $k=>$v) { unset($$k); }
$_GET = array();
require '../common.inc.php'; //包含了!
header("Content-type:text/javascript");
($DT['jstag'] && $DT['safe_domain'] && check_referer()) or exit('document.write("Invalid Referer
");');
只要get moduleid>3就能带着我们的DT_NONUSER包含common.inc.php从而进入admin.inc.php的包含最终实现注入了
漏洞证明
首先随便找个公司主页查看联系方式,需要记录3样东西:时间戳、原文、密文
-
将以上信息填入POC,运行POC获取cookie
261615277632439f00c075537641cfd03c905f6f.jpg -
用上一步生成的cookie去访问/api/js.php?moduleid=5,记得user-agent要设置为空,为了方便演示我这里把debug打开了 报错信息里能看到我们的注入语句
261616196b5b70a3a0efb45cadfe4f88406fcc87.jpg
poc:(这个poc还有很多问题,比如它获取第一个符合正则的key就停止了 事实上有可能会碰上正好符合正则却不是真正key的情况,只要多获取几组数据看相同的就能找出真正的md5(DT_KEY))
修复方案
microtime不安全