由正则引起的 Wecenter 拒绝服务漏洞

最新推荐文章于 2023-06-18 22:59:17 发布
最新推荐文章于 2023-06-18 22:59:17 发布
阅读量185 收藏
点赞数
文章标签: php
原文链接:https://yq.aliyun.com/articles/214491
版权

本文讲的是 由正则引起的 Wecenter 拒绝服务漏洞一年前在前公司搭建了一个wecenter程序的社区,忽然有一天发现社区打开首页都会超时,后面排查发现是php超时了,当时知道是文章引起的,但是手上还有其他项目在写,就没去跟,把文章删了就没去管他了。  直到前两个星期再次发现了这种问题,刚好手上也没什么事情,就抽空去跟了下代码。

漏洞形成原因:

文章内容65k个字符,字符串太大去匹配贪婪模式,导致php timeout,看看文章的字段类型.

由正则引起的 Wecenter 拒绝服务漏洞

跟下代码:

入口文件 index.php 大概23行:

AWS_APP::run();

继续跟进去 /system/aws_app.inc.php 只看关键代码 大概104行:

$handle_controller->$action_method();

/app/article/main.php  关键代码 大概36行:

public function index_action()
    {
        //...省略部分代码
        // $article_info['message'] 是文章内容
        $article_info['message'] = FORMAT::parse_attachs(nl2br(FORMAT::parse_bbcode($article_info['message'])));
        //...省略部分代码
        TPL::output('article/index');
    }

跟进去看看FORMAT::parse_bbcode 对文章内容做了什么操作:

/system/class/cls_format.inc.php 大概78行:

public static function parse_bbcode($text)
{
    if (!$text)
    {
        return false;
    }
    return self::parse_links(load_class('Services_BBCode')->parse($text));
}

感觉wecenter的版本挺乱的。

这里可以用echo rand();exit;来调试了

继续跟进去self::parse_links :

public static function parse_links($str)
    {
        $str = @preg_replace_callback('/(?<!!![](|"|'|)|>)(https?://[-a-zA-Z0-9@:;%_+.~#?&//=!]+)(?!"|'|)|>)/i', 'parse_link_callback', $str);
        if (strpos($str, 'http') === FALSE)
        {
            $str = @preg_replace_callback('/(www.[-a-zA-Z0-9@:;%_+.~#?&//=]+)/i', 'parse_link_callback', $str);
        }
        // 经过调试发现 问题在这一行。传入的$str的字节大概6w左右,这里用到了贪婪模式 - - 这个地方的已经修复了:https://github.com/wecenter/wecenter/commit/177a9e8bab6aec8725f258df02f8f214e5b2469c
        $str = @preg_replace('/([a-z0-9+_-]+[.]?[a-z0-9+_-]+@[a-z0-9-]+.+[a-z]{2,6}+(.+[a-z]{2,6})?)/is', '<a href="mailto:1">1</a>', $str);
        echo rand();exit;
        return $str;
    }

把 preg_replace 里面的正则暂时改成w,发现还是php还是存在timeout,继续跟代码。

再回到 /app/article/main.php 的 index_action 函数的最后一行 TPL::output('article/index'); 

/system/class/cls_template.inc.php 下的 output 函数,大概56行:

$display_template_filename = 'default/' . $template_filename;
/*省略部分代码*/
$output = self::$view->getOutput($display_template_filename);

看看 self::$view 怎么来的:

/system/class/cls_template.inc.php 下的 initialize 函数:

public static function initialize()
    {
        if (!is_object(self::$view))
        {
            self::$template_path = realpath(ROOT_PATH . 'views/');
            self::$view = new Savant3(
                array(
                    'template_path' => array(self::$template_path),
                    //'filters' => array('Savant3_Filter_trimwhitespace', 'filter')
                )
            );
            if (file_exists(AWS_PATH . 'config.inc.php') AND class_exists('AWS_APP', false))
            {
                self::$in_app = true;
            }
        }
        return self::$view;
}

跟进去 self::$view->getOutput 看看$output的值是什么

/system/Savant3.php 大概1004行:

public function getOutput($tpl = null)
    {
        $output = $this->fetch($tpl);
        if ($this->isError($output)) {
            $text = $this->__config['error_text'];
            return $this->escape($text);
        } else {
            return $output;
        }
    }

$this->fetch  能看到他include了模板,并且把内容return了出去

 public function fetch($tpl = null)
    {
       
        // 省略部分代码      
        } else {
            // yes.  execute the template script.  move the script-path
            // out of the local scope, then clean up the local scope to
            // avoid variable name conflicts.
            $this->__config['fetch'] = $result;
            unset($result);
            unset($tpl);
            // are we doing extraction?
            if ($this->__config['extract']) {
                // pull variables into the local scope.
                extract(get_object_vars($this), EXTR_REFS);
            }
            // buffer output so we can return it instead of displaying.
            ob_start();
            // are we using filters?
            if ($this->__config['filters']) {
                // use a second buffer to apply filters. we used to set
                // the ob_start() filter callback, but that would
                // silence errors in the filters. Hendy Irawan provided
                // the next three lines as a "verbose" fix.
                ob_start();
                include $this->__config['fetch'];
                echo $this->applyFilters(ob_get_clean());
            } else {
                // no filters being used.
                include $this->__config['fetch'];
            }
            // reset the fetch script value, get the buffer, and return.
            $this->__config['fetch'] = null;
            return ob_get_clean();
        }
    }

继续看拿到模板内容后他是怎么处理的:

在这里耽误了很久,一开始直接echo rand();exit;调试的,没注意看有多个模板:

调试代码改成:
if($display_template_filename == 'default/article/index.tpl.htm'){
     echo rand();
     exit;
}

/system/class/cls_template.inc.php 下的 output 函数,大概 134行:

//两个贪婪模式的正则,改一下就ok了。
$output = preg_replace('/[a-zA-Z0-9]+_?[a-zA-Z0-9]*-__/', '', $output);
$output = preg_replace('/(__)?[a-zA-Z0-9]+_?[a-zA-Z0-9]*-(['|"])/', '2', $output);
if($display_template_filename == 'default/article/index.tpl.htm'){
    echo rand();
    exit;
}

刚开始真没想到贪婪模式,正则现在差不多就记得点星问了,后来跟@L3m0n(柠檬) 叔叔在做题的时候提了一下,他说是贪婪模式,复习下正则吧…

为什么贪婪模式会导致php timeout?

参考:

正则表达式的三种模式【贪婪、勉强、侵占】的分析

正则基础之——NFA引擎匹配原理

正则基础之——贪婪与非贪婪模式

<进阶-1> 正则表达式的匹配原理

*贪婪模式图

由正则引起的 Wecenter 拒绝服务漏洞

由正则引起的 Wecenter 拒绝服务漏洞

抽出上面的其中一条正则来说:

[a-zA-Z0-9]+_?[a-zA-Z0-9]*-__

把正则切割成几部分:

由正则引起的 Wecenter 拒绝服务漏洞

认真看贪婪模式的那张图片,假如传入的字符串是:

[img]abc

把字符串切割一下:

由正则引起的 Wecenter 拒绝服务漏洞

正则在线debug:https://regex101.com

正则匹配过程如下(当然我说的也不一样是对,有兴趣的可以自己去看看正则表达式的匹配原理):

第一次匹配:从字符串位置0开始,子表达式"[a-zA-Z0-9]+",匹配"[",匹配失败,继续往前匹配;

第二次匹配:从字符串位置1开始,子表达式"[a-zA-Z0-9]+",匹配"i", 匹配成功,因为是贪婪模式,一直匹配到"g"那个地方才结束;

第三次匹配:从字符串位置4开始,子表达式"_?",匹配"]",同时记录备选状态,匹配失败,此时进行回溯,找到备选状态,"_?"忽略匹配;

第四次匹配:从字符串位置4开始,子表达式"[a-zA-Z0-9]*",匹配"]",同时记录备选状态,匹配失败,此时进行回溯,找到备选状态,"_?"忽略匹配;

第五次匹配:从字符串位置4开始,子表达式"-",匹配"]",匹配失败,向前查找可供回溯的状态,把控制权交给"_?",由前面匹配成功的子表达式让出已匹配的字符"g";

第六次匹配:从字符串位置3开始,子表达式"_?",匹配"g",同时记录备选状态,匹配失败,此时进行回溯,找到备选状态,"_?"忽略匹配;

第七次匹配:从字符串位置3开始,子表达式"[a-zA-Z0-9]*",匹配"g", 匹配成功;

第八次匹配:从字符串位置4开始,子表达式"-",匹配"]",匹配失败,向前查找可供回溯的状态,把控制权交给"_?",由前面匹配成功的子表达式让出已匹配的字符"mg";

第九次匹配:从字符串位置2开始,子表达式"_?",匹配"m",匹配零次或者一次,不存在这个字符,匹配零次;

第十次匹配:从字符串位置2开始,子表达式"[a-zA-Z0-9]*",匹配"m",匹配成功,因为是贪婪模式,一直匹配到"g"那个地方才结束;

第十一次匹配:从字符串位置4开始,子表达式"-",匹配"]",匹配失败,当前位置正则已经尝试了所有可能,现在从新开始匹配,之前是从i开始匹配成功的,下面从m开始匹配。

第十二次匹配:从字符串位置2开始,子表达式"[a-zA-Z0-9]+",匹配"m",匹配成功,因为是贪婪模式,一直匹配到"g"那个地方才结束;

会一直这样循环直到正则尝试过所有的位置都不能找到匹配结果才会匹配失败。

为什么会timeout?

正则是重复的子表达式且贪婪模式组成不能正确匹配,字符串是超大的话,就会尝试匹配很多次很多次很多次,这就导致了php timeout了。

由正则引起的 Wecenter 拒绝服务漏洞

拒绝服务效果:

由正则引起的 Wecenter 拒绝服务漏洞

修复后:

由正则引起的 Wecenter 拒绝服务漏洞

修复方案:

/system/class/cls_template.inc.php 下的 output 函数,大概 134-135 行(正则)修改为如下:

$output = preg_replace('/[a-zA-Z0-9_?]+-__/', '', $output);
$output = preg_replace('/(__)?[a-zA-Z0-9_?]+-(['|"])/', '2', $output);

如何避免这种问题:

    1.子表达式不要重复并且都贪婪模式;

    2.写完正则之后debug一下;




原文发布时间为:2017年8月25日
本文作者:Mosuan_
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
weixin_34128839
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ReDoS-checker:检查您的正则表达式是否存在ReDoS漏洞
05-18
然而,不恰当的正则表达式设计可能导致ReDoS(Regular Expression Denial of Service,正则表达式拒绝服务)攻击。ReDoS-checker是一款专门用于检测JavaScript正则表达式是否含有ReDoS风险的工具,帮助开发者确保...
一条正则表达式引起拒绝服务
weixin_30315905的博客
04-04 429
什么是正则表达式? 正则表达式是对字符串操作的一种逻辑公式,就是用事先定义好的一些特定字符、及这些特定字符的组合,组成一个“规则字符串”,这个“规则字符串”用来表达对字符串的一种过滤逻辑。 正则表达式有什么作用及好处? 给定一个正则表达式和另一个字符串,我们可以达到如下的目的: 1. 给定的字符串是否符合正则表达式的过滤逻辑(称作“匹配”): 2. 可以通过正则表达式,从...
Web安全-ReDos正则表达式的拒绝服务攻击
道阻且长,行则将至。
07-12 3706
开发人员使用了正则表达式来对用户输入的数据进行有效性校验, 当编写校验的正则表达式存在缺陷或者不严谨时, 攻击者可以构造特殊的字符串来大量消耗服务器的系统资源,造成服务器的服务中断或停止。...
Java String.replace遇见的低级错误
NumberWW的博客
03-06 609
Java String.replace遇见的低级错误
常见的漏洞原理及防御方法
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
06-18 3319
常见的漏洞原理及防御方法
WeCenter3.1.7 blind xxe
u011066706的专栏
04-17 1057
xxe漏洞危害大,可以查看任意文件,执行系统命令,进行ddos等,但是本次漏洞有一条件,需要后台登录,所以危害降低了,下面是详细分析 在models/weixin.php public function fetch_message() { if ($this->post_data = file_get_contents('php://input'))
正则表达式(regex)错误使用导致功能漏洞分析
12-13
如:“邮箱正则表达式,手机号正则表达式,url正则表达式…..” ,我们发现一个很有意思现象,“怎么邮箱正则表达式可以各种各样,url正则表达式也不相同“,都出都在推荐,都说自己是正确的,到底那个是正确的呢?
python教程pdf讲义课件基础高级网络系统正则服务器
05-23
python教程pdf讲义课件基础高级网络系统正则服务器python教程pdf讲义课件基础高级网络系统正则服务器python教程pdf讲义课件基础高级网络系统正则服务器python教程pdf讲义课件基础高级网络系统正则服务器python教程...
regexploit:查找容易受到ReDoS攻击的正则表达式(正则表达式拒绝服务
03-19
查找容易受到正则表达式拒绝服务(ReDoS)影响的正则表达式。 许多默认正则表达式解析器具有无限的最坏情况复杂度。当出现匹配的输入字符串时,正则表达式匹配可能很快。但是,某些不匹配的输入字符串会使正则表达式...
java replace无效_Java String.replace()方法"无效"的原因及解决方式
weixin_29144993的博客
02-13 3727
首先我们来看个例子public class Demo1 {public static void main(String[] args) {String aa="abcd";aa.replace("a","f");System.out.println("输出结果是"+aa);}}运行结果是什么呢?我们先看看这个方法的api 返回一个新的字符串,用newChar替换此字符串中出现的所有oldChar所...
WeCenter社交化问答社区程序 3.3.0.zip
05-23
WeCenter是一款知识型的社交化问答开源社区程序,专注于企业和行业社区内容的整理、归类、检索和再发行。 WeCenter 3.3.0 更新日志:2018-12-10 短信功能基础模块添加(三种短信通道可供选择);支付功能基础模块添加(支付宝、微信、余额);删除改为逻辑删除(文章/问题/用户);内容审核增加了对文章评论问题评论和回答评论的审核;后台菜单改为数据库储存和维护;新增插件管理(后续可支持插件的安装与卸载,结合应用市场);--配合手机注册插件可实现手机号注册登录;修改加入修藏的逻辑;修复了分享导致内容脚本被执行的漏洞;升级程序修改(支持官方版本的跨版本升级,修复了升级过程中出错而无法再升级问题);后台增加了对违规用户IP的封禁;社区反映问题修改。
WeCenter管理中心手册
08-02
WeCenter管理中心手册,官方发布的站长指南。
WeCenter(原Anwsion) 社会化问答系统 v3.3.0.zip
07-07
WeCenter(原Anwsion) 社会化问答系统 v3.3.0 更新日志   短信功能基础模块添加(三种短信通道可供选择)   支付功能基础模块添加(支付宝、微信、余额) 删除改为逻辑删除(文章/问题/用户) 内容审核增加了对文章评论问题评论和回答评论的审核 后台菜单改为数据库储存和维护 新增插件管理(后续可支持插件的安装与卸载,结合应用市场) **配合手机注册插件可实现手机号注册登录 修改加入收藏的逻辑 修复了分享导致内容脚本被执行的漏洞 升级程序修改 (支持官方版本的跨版本升级,修复了升级过程中出错而无法再升级问题) 后台增加了对违规用户IP的封禁 社区反映问题修改   WeCenter(原Anwsion) 社会化问答系统简介 Wecenter(微中心系统软件)是一款由深圳市微客互动有限公司开发的具有完全自主知识产权的开源软件。它安全,可靠,快速更迭,可以迅速帮助企业和组织通过微信,微薄,APP,网页社区等交互模式建立和客户之间的互动联系,积累知识要点,降低同质化内容的咨询成本和人力服务成本。让内容可以协同编辑,可以评价,可以快递分类和定位,建立符合企业和组织需求的结构化知识库。 通过微信公众帐号的对接,Wecenter利用结构化知识库和自然语言的检索,让企业拥有一个专业化的智能交流服务(类似苹果siri),建立一个微信端的crm系统。通过微薄的帐号管理,可以及时的了解微薄数据流中提到的关键信息,帮助企业和组织快速反映并提交解决方案。通过APP和网页社区,企业和组织可以和用户进行社交互动,并通过邀请,赞同,感谢等动作,发现优秀的人才和观点。 Wecenter是通过积累来源于微信,微薄,APP,社区等用户的碎片信息,利用社交互动的模式,分析数据,提炼数据,最终帮助企业和组织积累符合他们需求的知识百科!  WeCenter(原Anwsion) 社会化问答系统前台页面  WeCenter(原Anwsion) 社会化问答系统后台管理 后台路径:域名//?/admin/ 用户名与密码:admin admin123(安装时可设置) 后台页面: 相关阅读 同类推荐:站长常用源码
[BJDCTF2020]ZJCTF,不过如此--【Preg_Replace代码执行漏洞正则表达式(详解)】
qq_43613772的博客
08-27 582
代码审计,发现要get传参text和file,而且text的内容包含I have a dream字段。flie为文件包含next.php. 构造payload: ?text=data://text/plain,I%20have%20a%20dream& file=php://filter/convert.base64-encode/resource=next.php base64解密得到next.php的源码: <?php $id = $_GET['id']; $_SESSION['id'
3.3拒绝服务攻击
m0_56534254的博客
09-29 1246
在TCP连接建立之后,所传输的TCP报文都是带有ACK标志位,主机在接收到一个带有ACK标志位的数据包的时候,需要检查该数据包所表示的连接四元组是否存在,如果存在则检查该数据包所表示的状态是否合法,然后再向应用层传递该数据包。由于发送请求的源地址是假地址,服务器得不到确认,会重试发送SYN+ACK数据包,并等待大约30秒至2分钟后丢弃这个连接,在等待的时间内服务器处于半连接状态,会消耗系统资源。攻击者通过发送精心构造的、具有相同源地址和目标地址的欺骗数据包,致使缺乏相应防护机制的目标设备瘫痪。
常见安全漏洞及整改建议
sjh_c513的专栏
12-09 4406
1. HTML表单没有CSRF保护 1.1 问题描述: CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买
我是如何通过fuzz apache httpd服务发现CVE-2017-7668
weixin_34416649的博客
09-12 597
本文讲的是我是如何通过fuzz apache httpd服务发现CVE-2017-7668, 目标 在fuzz过程中发现apache httpd服务在AFL下崩溃掉了,导致出现了很多问题,比如模糊测试程序稳定性下降,模糊测试之外的程序不会崩溃等等。在这篇文章中,我会在展示漏洞的同时尝试解释这些问题,最后再对崩溃本身进行一定的说明。 测试用例 由于这只是...
php微信漏洞,wecenter 3.1.9 /app/m/weixin.php 反序列化造成SQL注入漏洞
weixin_36234738的博客
03-25 325
wecenter 3.1.9 /app/m/weixin.php 文件中,对传入的参数反序列化后直接构造SQL语句进行查询,导致SQL注入漏洞漏洞文件:/app/m/weixin.php:110相关代码public function authorization_action(){$this->model('account')->logout();unset(AWS_APP::sessi...
Web下的拒绝服务漏洞(DoS)
yggcwhat
09-29 2435
Web下的拒绝服务漏洞(DoS)
拒绝服务 正则表达式
最新发布
09-19
拒绝服务正则表达式指的是那些能够导致...需要注意的是,拒绝服务正则表达式是一种安全漏洞,开发人员在编写正则表达式时应当避免使用复杂度过高的模式,同时对输入进行充分的验证和限制,以防止系统遭受拒绝服务攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值