moodle php代码解读_对Moodle的关键漏洞和对应补丁进行分析

最新推荐文章于 2024-02-16 15:12:09 发布
最新推荐文章于 2024-02-16 15:12:09 发布
阅读量380 收藏
点赞数
文章标签: moodle php代码解读
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39662611/article/details/111816062
版权
本文深入探讨了Moodle的Quiz模块存在的关键漏洞,该漏洞允许教师角色执行远程代码。主要关注了漏洞的触发条件、exploit的数学公式技巧以及Moodle的三次补丁尝试和其局限性,强调了及时更新到最新版本的重要性。
摘要由CSDN通过智能技术生成

Moodle(Modular Object-Oriented Dynamic Learning Environment)是一个用于制作网络课程或网站的软件包。它是一个全球性的开发项目,用以支持社会建构主义(social constructionist)的教育框架。Moodle用户超过1.27亿用户,利用Moodle老师和学生可以管理课程活动,交换学习材料。本文主要讲述Moodle的关键漏洞,漏洞存在于Moodle的Quiz模块,可以通过teacher角色利用该漏洞来执行远程代码。如果Moodle版本低于3.5.0,研究人员建议用户更新到最新版本。

影响

攻击者的角色必须是老师,而且Moodle版本要早于3.5.0,以默认配置运行。通过其他漏洞进行提权也是有可能的。了解了漏洞和必要条件后,攻击者就可以在运行Moodle的服务器的操作系统上执行任意代码。用一个伪造的数学攻击,攻击者就可以绕过Moodle的内部安全机制,而这个安全机制是防止恶意代码执行的。

Quiz组件中的数学公式

Moodle允许老师设置有多种类型问题的测验。在计算题中,老师可以输入一个数学公式,Moodle会通过随机的输入变量动态地对公式进行评估。这就可以防止学生作弊或分享答案。比如,老师想要学生计算x加y两个数的和,那么就在问题的占位符中插入公式{x} + {y},那么学生看到的题目可能是(3.9+2.1)。最终,在公式输入中调用安全敏感PHP函数eval()来评估答案6。

为了强制执行无害的PHP代码的使用,Moodle的开发者引入了验证函数qtype_calculated_find_formula_errors()。

绕过

从上面的源码可以看出,1939行的preg_match()调用时非常严格的,不允许除了公式中的-+/*%>:^\~=&|!.0-9eE以外的字符出现。1927行的str_replace()会替换公式中所有的占位符。相应的正则表达式表明占位符名仅限于字符集中有的部分。从中我们可以看出一个弱点,那就是可能会隐藏恶意字符,防止preg_match()调用。使用这种技术来隐藏恶意代码,并将这些与嵌套占位符相结合就会产生可利用的漏洞。

第一个恶意公式会被validatorqtype_calculated_find_formula_errors()拒绝。可以看到第二个payload中,如果把占位符嵌入到括号中,validator不会去检测攻击,但是会用随机数去替换占位符。如果引入另一个占位符并将其放置在已有占位符附近,Moodle只会替换内部占位符,剩下的占位符就会到达eval()函数。因为eval()的输入是无效的PHP代码,所以payload就会出现一个PHP语法错误。(原文附带视频)

补丁

在将问题报告给Moodle后,Moodle很快就做出响应并提出补丁来快速解决该问题。但研究人员用RIPS再次扫描应用时发现来了同样的绕过漏洞。

补丁1:黑名单

Moodle开发者提出的第一个补丁是基于拒绝利用payload使用的含有PHP注释的公式。代码中可以看到,补丁预先在foreach loop中来检查公式中是否含有特定字符串。

该补丁让当前payload变得无用了,因为validator函数qtype_calculated_find_formula_errors()会检测当前利用payload中PHP注释中的//,/*,#等字符。该补丁是基于黑名单的方法,还基于攻击者不能修正无效的PHP语法。但该补丁对于更加复杂的payload利用是不够的。

补丁2:拒绝嵌套占位符

第二个补丁的原理是防止payload中使用嵌套占位符,这可以在检测占位符时移除递归来实现。

当输入嵌套占位符{a{b}}时间,qtype_calculated_find_formula_errors()方法把{b}替换为占位符,把左边的替换为{a1}被认为是不合法的。如果把公式变为{b}{a1}{a{b}},那么函数find_dataset_names()会检测并返回两个占位符{b}和{a1}。当占位符在以{b}开头的foreach循环中时,公式就会被替换成1{a1}{a1}。在替换完{a1}之后,公式就等于111了;这样的嵌套占位符就打破了补丁2的目的。

补丁3:黑名单和线性替换

补丁3融合了补丁1和补丁2的方法,在预防嵌套占位符上效果非常好。如果攻击者的目标是Quiz不见得import特征,那么就可以重新import一个恶意的XML问题文件,攻击者就可以控制substitute_variables()的$dataset参数,并使占位符的替换无效。

上面的代码1951行显示XML文件定义了占位符x的名字。而占位符并没有在1946行的公式中使用。这也会使对占位符{system($_GET[0])}的替换无效,导致与前2个补丁同样的代码注入漏洞。

总结

本文分析了Moodle的关键漏洞,因为Moodle经常集成在大型的eLearning平台中。因为漏洞的存在,学生可以通过执行恶意代码来给自己所学的课程打分。研究人员对本文报告的漏洞进行了修复,提出4个补丁,但其中一些补丁不能完全解决漏洞利用的payload。因此,研究人员建议更新到最新版的Moodle。

weixin_39662611
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
auth_joomdle_moodle28_2008080232_Moodle_joomla_
09-30
【标题】"auth_joomdle_moodle28_2008080232_Moodle_joomla_" 指的是一个特定版本的 Joomdle 插件,该插件用于集成 Joomla 和 Moodle 两个知名的开源教育平台。这个版本号 "2008080232" 代表了该插件的发布日期...
【转载】Moodle分析---文件结构
后端开发
05-27 1075
这是对Moodle学习的第一次关于文件结构的分析,接下来还将要有更多的东西拿来记录,记录项目的运行情况。并将实时更新最新的研究情况。 l         admin:主要用于moodle站点管理的代码 l         auth:用于moodle用户认证的组件模块 l         backup:包含创建一个备份或者恢复时所用到的管理模块 l         blocks:用户管理moodle
moodle php代码解读_代码审计从入门到放弃(二) & pcrewaf
weixin_31755479的博客
12-24 218
前言继续之前的2018 Code Breaking,这次是一道关于php回溯bypass正则的题目:pcrewaf题目概述题目源码如下function is_php($data){ return preg_match('/?>].*/is', $data);}if(empty($_FILES)) { die(show_source(__FILE__));}$user_d...
moodle php代码解读_Moodle插件开发笔记
weixin_39549899的博客
12-22 667
原标题:Moodle插件开发笔记Moodle作为一个主流的开源网络课程管理系统,以其简单而清晰的使用方式和灵活的扩展空间赢得了多数人的青睐。它解决了大部分信息化学习和课程管理的 共同问题(课程设计、发布、组织、作业、测试、统计、评价等) ,能够不加任何修改就能够进行实际应用。Moodle数据库模型Moodle的数据库模型经过几年的发展已经很复杂,为了减少这种复杂关系带来的混乱,它采用了这样的命名方...
渗透项目(一):GodlenEye
Ays.Ie的博客
10-15 1258
今天开始写渗透学习笔记,第一个渗透项目:GoldenEye,大佬勿喷!!
GoldEye
学习!冲冲冲!
06-12 484
靶机GoldEye
moodle php.ini,imoodle: Moodle一键源码安装包是一个用 Linux Shell 编写的可以在 CentOS/Debian 下编译安装LNMP(Nginx/MariaDB/P...
weixin_28846179的博客
03-27 345
Moodle一键源码安装包 - Readme—————————————Moodle一键源码安装包是一个用 Linux Shell 编写的可以在 CentOS/Debian 下编译安装LNMP(Nginx/MariaDB/PHP)生产环境,同时安装一个稳定可靠的Moodle平台的Shell程序。作者: hongm http://hongm.emoodle.org-------------------...
moodle-block_mt:Moodle插件的源代码-MotTEC-动机技术
03-30
MotTEC-激励技术 此块插件提供了5个与域和内容无关的功能,旨在为学生提供一门课程的更多动力。 该插件包含5个单独的功能。 每种功能都相互独立,从而可以单独使用或彼此结合使用。 通过该功能块可以使用哪些功能,...
如何修改moodle_theme主题皮肤.docx
06-27
总的来说,修改Moodle Theme涉及到对HTML结构的理解,CSS的编写和调试,以及对Moodle平台工作原理的熟悉。通过熟练掌握这些知识,你可以创建出既美观又符合用户需求的个性化Moodle环境。在实际操作中,记得备份原始...
moodle-tool_objectfs:Moodle的目标文件存储系统
02-01
通过将多个眼镜指向同一远程文件系统,并且不允许删除,可以对大量内容进行重复数据删除。 跨环境共享文件以节省时间 我们的一些客户情绪高涨。 我们也有用于各种类型测试的多种环境,并且经常有按需创建的临时环境...
moodle中SCORM测验制作详解
04-01
moodle中SCORM测验制作详解视频及工具介绍
moodlescan:Moodle平台中的扫描漏洞工具
03-20
moodlescan v0.7 Moodle平台中的扫描漏洞工具 安装及要求 安装Python 3 安装软件包python3-pip 克隆此存储库:git clone cd moodlescan / 运行:pip install -r requirements.txt python moodlescan.py -u [URL] 用法 Options -u [URL] : URL with the target, the moodle to scan -a : Update the database of vulnerabilities to latest version -r : Enable HTTP requests with random user-agent -k : Ignore SSL Certificate Proxy configur
Moodle
03-22
Moodle
moodle
03-30
构建和部署Moodle 在Apache,PHP,MySQL环境中 与作曲家一起 通过GitHub Repo管理 初始部署 构建Docker映像,登录,运行Composer安装 ! 确保Docker桌面正在运行! docker-compose up -d --build docker-compose ps(查找容器名称) docker exec -it container_name bash(使用名称登录到容器) chown -R www-data:www-data / app / web 在以下位置完成安装: !! 清理 !! 删除所有容器和图像,以开始一个全新的开始 码头工人组成 docker-compose stop 码头工人系统修剪 码头工人容器修剪 码头工人修剪 OpenShift CodeReady容器 ! 确保Docker桌面正在运行! 在运行之前,请确保您“ docker
Moodle2.0
03-17
Moodle2.0 安装: 确保已安装以下文件并在系统变量PATH中:maven,java(jdk 1.8),node 如果从控制台运行Maven,则将“ PathToJavaJDK”添加到系统变量“ JAVA_HOME” 运行“ MVN全新安装” 如何运行: 在根目录中运行“ mvn --projects后端spring-boot:run” 访问 本地数据库配置 对于本地开发,请在IDE中配置以下环境变量 SPRING_DATASOURCE_URL = jdbc:h2:file:./ data / demo SPRING_DATASOURCE_DRIVER-CLASS-NAME = org.h2.Driver SPRING_DATASOURCE_PASSWORD = sa SPRING_DATASOURCE_USERNAME =密码 SPRING_JPA_DATAB
moodle-mod_subcourse:Moodle的字幕模块
05-11
请按照上有关如何安装Moodle插件的一般说明进行操作。 从上载的ZIP软件包或通过Git安装时,“ subcourse”目录应该位于Moodle安装的“ / mod”目录下。 用法 创建一个主课程和一个或几个其他应作为主课程的子课程的...
Ubuntu 18.04搭建Moodle
weixin_45703155的博客
05-17 751
Moodle是一个用于制作网络课程或网站的软件包。它是一个全球性的开发项目,用以支持社会建构主义(social constructionist)的教育框架。Moodle是一个自由的开源软件 (在GNU 公共许可协议下)。 从Git 代码仓库中直接下载Moodle代码: git clone -b MOODLE_25_STABLE git://git.moodle.org/moodle.git ...
《VulnHub》GoldenEye:1
最新发布
学习学习学习......
02-16 1304
主机发现、目标信息扫描、源码 js 文件泄露敏感信息、hydra 爆破邮件服务(pop3)、邮件泄露敏感信息、ip 与域名映射写进 hosts 文件、whatweb 工具检测网站、图片隐写分析、CVE-2013-3630 漏洞利用、python 反弹 shell、使用 ptyhon 获取 tty、CVE-2015-1328 漏洞利用、kali 本地 exp 库攻击脚本利用。
Vulnhub-GoldenEye
路漫漫其修远兮
01-12 461
最开始用nmap扫描出了55007端口是pop3协议,把这两个账号写在一个txt文件中,使用hydra工具对这两个账号进行爆破:hydra 192.168.1.9 -s 55007 pop3 -L user.txt -P /usr/share/wordlists/fasttrack.txt -v。登录后放问My profile->My prlvate files中找到了s3cret.txt文件,文件中指出了一个图片地址。使用doak账号登录pop3,查看邮件发现了新的账号和密码。
moodle php代码解读
05-26
Moodle是一款基于PHP开发的开源在线学习平台,它的源代码可以在GitHub上找到。...以上是Moodle的基本PHP代码解读Moodle还包含了许多其他的PHP文件和目录,如lib、lang、theme等,它们都是Moodle运行的重要组成部分。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值