漏洞简介
MyBB(MyBulletinBoard)是MyBB(MYBB)团队的开发的一套用PHP和MySQL开发的免费且基于Web的论坛软件。该软件具有简单易用、支持多国语言、可扩展等特点。 MyBB 存在安全漏洞,该漏洞源于设置语言时对相关文件审查不严格,这会导致远程代码执行 (RCE) 漏洞。
影响范围
小于mybb_1.8.32(包含)版本
config/languages.php文件
漏洞分析
这是一个后台漏洞,漏洞出发点在系统语言设置位置。但是需要和另一个位置配合才可以利用。
先登录账号,来到用户列表
Users&Groups -> Users -> Browse Users
随便找一个用户,打开头像设置
先来上传一个文件看看。
我们这里就不一个个尝试绕过上传了,直接看代码。通过抓包,可以知道后台是通过admin/modules/user/users.php文件处理
打开users.php文件,定位到action=edit
这里可以看到把上传的文件和待修改头像用户的uid传递给upload_avatar函数。如果报错,就打印错误,如果没报错,更新上传后的头像信息。
进入upload_avatar函数后,可以看到对文件后缀进行判断,只允许图片后缀。不过没关系,我们这里不用绕,直接把webshell代码放到图片里边就行。
接下来看一下文件保存在了什么位置
$avatar :文件对象
$avatarpath:默认上传路径 ./uploads/avatars
$filename:文件名 avatar_1.png
头像文件上传到web根目录下./uploads/avatars/avatars_1.png
然而,并不是这样,后台默认设置,把头像上传目录修改到了./inc目录下。所以,最终上传到了
web根目录下./inc/avatars_1.png
当然,图片文件是没办法直接执行php代码。需要配合文件包含,刚好修改语言的地方有一个文件包含
随便修改了一个,是这样。
打开语言后台处理文件./admin/modules/config/languages.php,定位到action=edit
在这个文件中直接搜include关键字,可以看到是把语言文件本地包含执行。
接着,我们只需要跟踪并构造这个语言文件的路径指向之前上传的头像文件即可。
首先,从请求中获取editwith的值,添加到路径后边
此时$editwithfolder的值为根目录/inc/languages/’editwith’/,接着往下看
$file的值为‘file’,也就是我们可以随便输入。
包含的文件为变量$editwithfile的值,也就是$editwithfolder + $file
$editwithfile:根目录下./inc/languages/’editwith’/’file’
再来回忆下,前边图片马的上传路径
图片马:web根目录下./inc/avatars_1.png
语言文件:根目录下./inc/languages/’editwith’/’file’
那么,构造语言文件路径指向图片马即可。输入editwith为上一层目录..
file为avatar_1.png
漏洞利用
网上还没EXP,这里就不放了,只展示下效果。好在官方已修复。
修复建议
升级到1.8.33即可
官方地址:https://github.com/mybb/mybb/releases
可以看到,官方修复方法为禁止路径中有.和..,也就是禁止访问上层目录和当前目录。
原文始发于微信公众号(闲聊知识铺):Mybb1.8.32命令执行漏洞分析
