|
|
發(fā)布日期:2002-04-3
漏洞類別:php,遠(yuǎn)程WEB接口,拒絕服務(wù)
bugtraq ID 4432、4434
存在問(wèn)題的版本:
phpBB 1.44,更低的版本及 phpBB 2.0 未測(cè)試。
描述:
phpBB是一個(gè)被廣泛應(yīng)用的基于php的論壇。發(fā)現(xiàn)其BBcode中對(duì)于“源代碼”類的引用處
理存在漏洞,通過(guò)發(fā)送特殊格式的轉(zhuǎn)義字符串可導(dǎo)致數(shù)據(jù)庫(kù)的損壞以及服務(wù)器的 CPU、內(nèi)存
資源大量消耗。
詳細(xì):
phpBB在對(duì)“源代碼”類的引用處理不當(dāng),主要是為了要支持鑲套的標(biāo)記
而造成的。有問(wèn)題的代碼是functions.php中的bbencode_code函數(shù)。
當(dāng)我們提交一個(gè)這樣的貼子:
實(shí)際向數(shù)據(jù)庫(kù)中存儲(chǔ)的數(shù)據(jù)是這樣:
[1code]
/0/0/0/0/0/0/0
[/code1][1code]
/0/0/0/0/0/0/0
[/code1][1code]
/0/0/0/0/0/0/0
[/code1][1code]
/0/0/0/0/0/0/0
[/code1][1code]
/0/0/0/0/0/0/0
[/code1][1code]
/0/0/0/0/0/0/0
[/code1][1code]
/0/0/0/0/0/0/0
[/code1]
即實(shí)際系統(tǒng)要負(fù)擔(dān)的數(shù)據(jù)量是輸入的“/0”的數(shù)量的平方,如果發(fā)送 1 MByte的數(shù)據(jù),系統(tǒng)
實(shí)際處理的數(shù)據(jù)將接近 1 TByte。
這是我們?cè)趯?shí)驗(yàn)機(jī)器上發(fā)送一個(gè)包含''*800的帖子時(shí)的資源占用情況:
PID USER PRI NI SIZE RSS SHARE STAT %CPU %MEM TIME COMMAND
8643 nobody 13 0 212M 81M 13604 D 8.0 65.7 0:07 httpd
提交貼子后會(huì)提示出錯(cuò):
Could not enter post text!
但實(shí)際上貼子的標(biāo)題和提交者這兩個(gè)數(shù)據(jù)已存到數(shù)據(jù)庫(kù)中,但內(nèi)容和其他一些數(shù)據(jù)沒有,所
以打開的時(shí)候會(huì)出現(xiàn)錯(cuò)誤頁(yè)面。而且這樣的帖子無(wú)法用正常的方法刪掉,只能用直接連接到
數(shù)據(jù)庫(kù)來(lái)刪除。以下是提交不同數(shù)據(jù)量的結(jié)果:
''* =<583 正常貼上,可以刪除
''* 584 正常貼上,可以編輯,但不能刪除
''* 585 提示 Could not enter post text! 但貼子也沒有
''* 586 正常貼上,可以刪除
''* 587 提示 Could not enter post text! 但貼子也沒有
''* 588 正常貼上,可以刪除
''* 589 提示 Could not enter post text! 但貼子也沒有
''* >=590 提示 Could not enter post text! 出現(xiàn)刪不掉的帖子
如果發(fā)送鑲套的標(biāo)記則占用資源更多,我們?cè)趯?shí)驗(yàn)機(jī)器上發(fā)送這樣的帖子:
復(fù)制代碼 代碼如下:[code]/0/0[/code]
雖然只有49Byte的數(shù)據(jù),但資源占用非常可觀:
PID USER PRI NI SIZE RSS SHARE STAT %CPU %MEM TIME COMMAND
25741 nobody 14 0 11828 9996 416 R 99.9 7.8 2:38 httpd
幾秒鐘后產(chǎn)生了大量的數(shù)據(jù),內(nèi)存大量消耗:
PID USER PRI NI SIZE RSS SHARE STAT %CPU %MEM TIME COMMAND
3 root 10 0 0 0 0 SW 2.5 0.0 4:13 kswapd
25742 nobody 17 0 265M 90M 52104 R 25.1 73.0 1:45 httpd
這樣的鑲套帖子是不會(huì)存儲(chǔ)到數(shù)據(jù)庫(kù)中的,但隨著鑲套的增加資源的占用會(huì)按照幾何級(jí)數(shù)遞
增。如果一次發(fā)送更多數(shù)據(jù),或者不斷的發(fā)送,可以導(dǎo)致系統(tǒng)資源大量占用,最終拒絕服務(wù)。
實(shí)驗(yàn)環(huán)境:linux 2.4.10 Apache/1.3.23 php 4.12
解決方案:
1、暫時(shí)禁用BBcode。
2、alert7給出了functions.php的如下修改方法,暫時(shí)停用對(duì)鑲套標(biāo)記的支持:
把773行開始的bbencode_code函數(shù)改為:
function bbencode_code($message, $is_html_disabled)
{
$message = preg_replace("http://[code/](.*?)/[//code/]/si", "<!-- BBCode Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Code:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><PRE>//1</PRE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode End -->", $message);
return $message;
} // bbencode_code()
對(duì)于無(wú)法正常刪除的帖子,需要手工連接數(shù)據(jù)庫(kù)刪除。假設(shè)有這樣一個(gè)帖子:
http://host/forums/viewtopic.php?topic=1162&forum=1&0
可以這樣:
$ mysql -uuser -ppasswd
mysql> use databasename;
mysql> select * from topics where topic_id = 1162; //得到post_id
mysql> delete from posts where post_id = 6280;
mysql> delete from posts_text where post_id = 6280;
mysql> delete from topics where topic_id = 1162;
關(guān)于我們:
WSS (Whitecell Security Systems),一個(gè)非營(yíng)利性民間技術(shù)組織,致力于各種系統(tǒng)安
全技術(shù)的研究。堅(jiān)持傳統(tǒng)的hacker精神,追求技術(shù)的精純。
WSS 主頁(yè):http://www.whitecell.org/
WSS 論壇:http://www.whitecell.org/forum/
補(bǔ)充:后來(lái)的測(cè)試發(fā)現(xiàn)相當(dāng)多的BBS都有類似問(wèn)題,包括基于php、cgi、ASP的,希望大家自己對(duì)自己的論壇進(jìn)行測(cè)試,如有問(wèn)題,參考本文酌情解決。
php技術(shù):phpBB BBcode處理的漏洞,轉(zhuǎn)載需保留來(lái)源!
鄭重聲明:本文版權(quán)歸原作者所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如作者信息標(biāo)記有誤,請(qǐng)第一時(shí)間聯(lián)系我們修改或刪除,多謝。
