vBulletin 5.x 前台RCE漏洞复现

迈不过友情╰ 2022-12-19 11:54 179阅读 0赞

### vBulletin 5.x 前台RCE漏洞复现 ###

*   *   *  vBulletin 5.x 前台RCE漏洞复现
         *   *  漏洞原理
             *  RCE复现
             *  参考

### vBulletin 5.x 前台RCE漏洞复现 ###

#### 漏洞原理 ####

本质是一个文件包含漏洞，攻击者可以通过包含文件执行任意php代码。

![在这里插入图片描述][20201107132302264.png_pic_center]

追踪源码分析

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2N5bnRocmlhbA_size_16_color_FFFFFF_t_70_pic_center]

如果get参数传入则赋值给$path，继续追踪path变量

![在这里插入图片描述][20201107132347546.png_pic_center]

如果path的变量长度大于2则判断是否是gif等文件，是的话则返回404

执行前检查路径

![在这里插入图片描述][20201107132403859.png_pic_center]

\#strpos取“/”在path中的位置，如果有/ 则函数为真，不继续执行

linux中路径只能为分割只能为 /， 但windows中路径分割 / 和\\ 是等价的，所以在windows环境中可以通过\\ 来利用此文件包含

#### RCE复现 ####

访问http://172.16.12.2/vb5/index.php?routestring=…\\

文件报错

![在这里插入图片描述][20201107132420400.png_pic_center]

可以看到文件包含的函数require\_once()报错且绝对路径泄露，中间件为phpstudy，系统版本为windows。

phpstudy默认日志目录为phpstudy目录下的 `\apache\logs\`。  
尝试访问`http://172.16.12.2/vb5/index.php?routestring=..\ ..\..\..\..\..\..\phpstudy\apache\logs\error.log`，

可以成功利用文件包含漏洞读取文本信息

制造错误访问日志将php代码写入error.log，再将错误日志包含到代码执行

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2N5bnRocmlhbA_size_16_color_FFFFFF_t_70_pic_center 1]

再次包含文件漏洞利用看看，刚才写入的内容被php解释了，但是代码有错误  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2N5bnRocmlhbA_size_16_color_FFFFFF_t_70_pic_center 2]

（其实能传参数到access.log 也可以，同理）

此处略过重置环境的心酸。。。。。。。。。

重新传马

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2N5bnRocmlhbA_size_16_color_FFFFFF_t_70_pic_center 3]

测试访问并菜刀连接  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2N5bnRocmlhbA_size_16_color_FFFFFF_t_70_pic_center 4]

成功上线

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2N5bnRocmlhbA_size_16_color_FFFFFF_t_70_pic_center 5]

#### 参考 ####

https://www.ichunqiu.com/experiment/detail?id=60507&source=1&token=05718a26ed6d61917692f2bfa7647cfe

https://ssd-disclosure.com/ssd-advisory-vbulletin-routestring-unauthenticated-remote-code-execution/

[20201107132302264.png_pic_center]: /images/20221120/7a5dc00506754cc0a983224ad1bfedfc.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2N5bnRocmlhbA_size_16_color_FFFFFF_t_70_pic_center]: /images/20221120/178d4e1202134ef0b0e549fd8429d572.png
[20201107132347546.png_pic_center]: /images/20221120/187d20ad5ba3466d9fa6ae0111094ea2.png
[20201107132403859.png_pic_center]: /images/20221120/91e227cf8a194161a309dd95d6db7863.png
[20201107132420400.png_pic_center]: /images/20221120/df0485e1072e4491965c55f4a6c3d0b2.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2N5bnRocmlhbA_size_16_color_FFFFFF_t_70_pic_center 1]: /images/20221120/0e9fb811e8a54fe68b04d828ba2b4060.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2N5bnRocmlhbA_size_16_color_FFFFFF_t_70_pic_center 2]: /images/20221120/10a29499612a4923afa6acfb20da326e.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2N5bnRocmlhbA_size_16_color_FFFFFF_t_70_pic_center 3]: /images/20221120/b30b27089a0b481095359bd5ab1478ea.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2N5bnRocmlhbA_size_16_color_FFFFFF_t_70_pic_center 4]: /images/20221120/a4645a4adf4541f0a56028462f08bdc5.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2N5bnRocmlhbA_size_16_color_FFFFFF_t_70_pic_center 5]: /images/20221120/2255c54b37e14b6b886eafa41a5b5192.png