細(xì)談Web系統(tǒng)安裝程序安全

細(xì)談Web系統(tǒng)安裝程序安全Author:Yaseng[目錄](méi)0x00前言0x01關(guān)于程序安裝文件0x02最土團(tuán)購(gòu)直接重復(fù)安裝加getShell0x03跳轉(zhuǎn)繞過(guò)phpdiskheaderbypass&getShell0x04全局變量覆蓋繞過(guò)sdcms0x05非主流dcrcms的非常重裝0x06phpweb安裝會(huì)員驗(yàn)證繞過(guò)0x07其他繞過(guò)實(shí)例0x08安全代碼的編寫(xiě)0x09總結(jié)前言作為一個(gè)Web系統(tǒng),安裝程序是必不可少的。提供安裝系統(tǒng),已連接數(shù)據(jù)庫(kù)和初始化網(wǎng)站數(shù)據(jù),當(dāng)首次安裝時(shí),系統(tǒng)一般會(huì)生成一個(gè)lock文件以免非法重裝,但我們可以通,導(dǎo)致系統(tǒng)重裝,系統(tǒng)數(shù)據(jù)丟失甚至getShell,本文以多個(gè)實(shí)例淺談web系統(tǒng)安裝程序的安全。關(guān)于程序安裝文件web系統(tǒng)安裝在第一次訪問(wèn)程序入口的會(huì)自動(dòng)安裝,以筆者熟悉的php為例,一般是install.php或者根目錄下的install文件夾,安裝流程如下開(kāi)始開(kāi)始已安裝已安裝提示跳轉(zhuǎn)環(huán)境檢測(cè)環(huán)境檢測(cè)提示連接數(shù)據(jù)庫(kù)連接數(shù)據(jù)庫(kù)提示提示 初始化網(wǎng)站數(shù)據(jù)初始化網(wǎng)站數(shù)據(jù)安裝成功 圖一圍觀以上內(nèi)涵圖先,接下來(lái)我們用多個(gè)案例細(xì)談之。最土團(tuán)購(gòu)直接重復(fù)安裝加getShell參考http://www.0855.tv/post/46.htm

1.訪問(wèn)/install.php（有的人懶，并沒(méi)有刪除這個(gè)文件）

2.填寫(xiě)自己本機(jī)搭建好的Mysql帳戶和IP，重新安裝之。

3.注冊(cè)一個(gè)帳戶，第一個(gè)注冊(cè)的默認(rèn)為管理員。

4.訪問(wèn)/manage/index.php5.點(diǎn)擊設(shè)置--模版---選擇about_job.html添加PHP一句話

6.用菜刀鏈接/about/job.phpPhpdiskheader繞過(guò)參考http://yaseng.me/phpdisk-header-bypass-getshell-exp.html圖二如圖二,已安裝檢測(cè)時(shí),直接header跳轉(zhuǎn),而php中的header函數(shù)跳轉(zhuǎn)之后還可以執(zhí)行,而為了安裝方便去掉gpc,導(dǎo)致重復(fù)安裝直接getShell.圖三xdcms全局變量覆蓋繞過(guò)重裝參考http://yaseng.me/xdcms-open-code-audit.html看install下的index.php文件foreach(Array('_GET','_POST','_COOKIE')as$_request){ foreach($$_requestas$_k=>$_v)${$_k}=_runmagicquotes($_v);}經(jīng)典的全局變量覆蓋,代碼的意思是把傳入的變量數(shù)組遍歷賦值,比如$_GET[‘a(chǎn)’]賦值為$aOk繼續(xù)往下看已安裝檢測(cè)代碼$insLockfile=dirname(__FILE__).'/install_lock.txt';//在全局?jǐn)?shù)據(jù)遍歷之前if(file_exists($insLockfile)){ exit("程序已運(yùn)行安裝，如果你確定要重新安裝，請(qǐng)先從FTP中刪除install/install_lock.txt！");}這里的insLockfile是我們可控的(全局變量覆蓋),隨便傳入一個(gè)參數(shù)/install/index.php?insLockfile=1圖四圖四位sdcms官方網(wǎng)站,利用poc/install/index.php?insLockfile=1&step=4&dbhost=localhost&dbname=xdcms&dbuser=root&dbpwd=&dbpre=c_&dblang=gbk&adminuser=yaseng&adminpwd=90sex加粗部分填寫(xiě)配置直接繞過(guò)重裝dcrcms邏輯缺陷導(dǎo)致二次安裝我們來(lái)看dcrcms非主流安裝程序,沒(méi)有已安裝檢測(cè)代碼,index.php寫(xiě)入配置,傳入install_action.php,當(dāng)安裝結(jié)束時(shí),functioninstall_end(){ //安裝收尾 //把安裝文件的名字換了 @rename('index.php','index.php_bak');}額改了index.php有毛用,index.php只是一個(gè)配置數(shù)據(jù)的發(fā)射器,好吧既然你改名的index我就本地寫(xiě)一個(gè)index吧...圖五提交本地表單圖六Done!!!phpweb重裝vip驗(yàn)證繞過(guò)Phpweb作為一個(gè)收費(fèi)系統(tǒng),安裝時(shí)有會(huì)員驗(yàn)證,所以開(kāi)發(fā)人員的天真的免去了已安裝檢測(cè).圖七但是安裝流程有post過(guò)來(lái)的nextstep控制圖八Firefoxtamper直接繞過(guò)安裝(破解此程序未測(cè)試,感興趣者可深入研究)圖九其他繞過(guò)安裝程序不能繞過(guò)時(shí),可以通過(guò)別的方式,比如dedecms的任意文件刪除,刪除lockfile,Xxxcms的任意文件改名等等。安全代碼的編寫(xiě)改名?加lockfile?.....這些都有被繞過(guò)的危險(xiǎn),discuz給了我們一個(gè)很好答案.看代碼,安裝完后訪問(wèn)后臺(tái)if(@file_exists(DISCUZ_ROOT.'./install/index.php')&&!DISCUZ_DEBUG){ @unlink(DISCUZ_ROOT.'./install/index.php'); if(@file_exists(DISCUZ_ROOT.'./install/index.php')){ dexit('Pleasedeleteinstall/index.phpviaFTP!'); }}直接刪除index.php,下手干凈利落,永除后患...總結(jié)本文筆者代碼審計(jì)和項(xiàng)目開(kāi)發(fā)時(shí)對(duì)web系統(tǒng)安裝程序的簡(jiǎn)單評(píng)測(cè),案例中有的在新版本中已經(jīng)修正,有些是未公布0day,具體利用方法