phpBB BBcode处理的漏洞

simon1755

simon1755

2016-02-19 11:36

关注图老师设计创意栏目可以让大家能更好的了解电脑,知道有关于电脑的更多有趣教程,今天给大家分享phpBB BBcode处理的漏洞教程,希望对大家能有一点小小的帮助。

发布日期:2002-04-3
漏洞类别:PHP,远程WEB接口,拒绝服务

bugtraq ID 4432、4434

存在问题的版本:

    phpBB 1.44,更低的版本及 phpBB 2.0 未测试。


描述:

    phpBB是一个被广泛应用的基于PHP的论坛。发现其BBcode中对于“源代码”类的引用处
理存在漏洞,通过发送特殊格式的转义字符串可导致数据库的损坏以及服务器的 CPU、内存
资源大量消耗。


详细:

    phpBB在对“源代码”类的引用处理不当,主要是为了要支持镶套的标记
而造成的。有问题的代码是functions.php中的bbencode_code函数。

    当我们提交一个这样的贴子:





实际向数据库中存储的数据是这样:

[1code]

[/code1][1code]

[/code1][1code]

[/code1][1code]

[/code1][1code]

[/code1][1code]

[/code1][1code]

[/code1]

即实际系统要负担的数据量是输入的“”的数量的平方,如果发送 1 MByte的数据,系统
实际处理的数据将接近 1 TByte。

这是我们在实验机器上发送一个包含''*800的帖子时的资源占用情况:

PID  USER      PRI  NI  SIZE  RSS SHARE STAT %CPU %MEM   TIME COMMAND
8643 nobody    13   0   212M  81M 13604 D     8.0 65.7   0:07 httpd

提交贴子后会提示出错:

Could not enter post text!

但实际上贴子的标题和提交者这两个数据已存到数据库中,但内容和其他一些数据没有,所
以打开的时候会出现错误页面。而且这样的帖子无法用正常的方法删掉,只能用直接连接到
数据库来删除。以下是提交不同数据量的结果:

''* =583  正常贴上,可以删除
''* 584    正常贴上,可以编辑,但不能删除
''* 585    提示 Could not enter post text! 但贴子也没有
''* 586    正常贴上,可以删除
''* 587    提示 Could not enter post text! 但贴子也没有
''* 588    正常贴上,可以删除
''* 589    提示 Could not enter post text! 但贴子也没有
''* =590  提示 Could not enter post text! 出现删不掉的帖子

如果发送镶套的标记则占用资源更多,我们在实验机器上发送这样的帖子:

代码如下:
[code][/code]

虽然只有49Byte的数据,但资源占用非常可观:
  PID USER     PRI  NI  SIZE  RSS SHARE STAT %CPU %MEM   TIME COMMAND
25741 nobody    14   0 11828 9996   416 R    99.9  7.8   2:38 httpd

几秒钟后产生了大量的数据,内存大量消耗:
  PID USER     PRI  NI  SIZE  RSS SHARE STAT %CPU %MEM   TIME COMMAND
    3 root      10   0     0    0     0 SW    2.5  0.0   4:13 kswapd
25742 nobody    17   0  265M  90M 52104 R    25.1 73.0   1:45 httpd

这样的镶套帖子是不会存储到数据库中的,但随着镶套的增加资源的占用会按照几何级数递
增。如果一次发送更多数据,或者不断的发送,可以导致系统资源大量占用,最终拒绝服务。

实验环境:linux 2.4.10   Apache/1.3.23   PHP 4.12


解决方案:

1、暂时禁用BBcode。
2、alert7给出了functions.php的如下修改方法,暂时停用对镶套标记的支持:

把773行开始的bbencode_code函数改为:

function bbencode_code($message, $is_html_disabled)
{
$message = preg_replace("/[code](.*?)[/code]/si", "!-- BBCode Start --TABLE BORDER=0 style="text-align:center" WIDTH=85%TRTDfont size=-1Code:/fontHR/TD/TRTRTDFONT SIZE=-1PRE\1/PRE/FONT/TD/TRTRTDHR/TD/TR/TABLE!-- BBCode End --", $message);
return $message;

} // bbencode_code()

    对于无法正常删除的帖子,需要手工连接数据库删除。假设有这样一个帖子:
http://host/forums/viewtopic.php?topic=1162&forum=1&0
可以这样:
$ mysql -uuser -ppasswd
mysql use databasename;
mysql select *  from topics where topic_id = 1162; //得到post_id
mysql delete from posts where post_id = 6280;
mysql delete from posts_text where post_id = 6280;
mysql delete  from topics where topic_id = 1162;


关于我们:

    WSS (Whitecell Security Systems),一个非营利性民间技术组织,致力于各种系统安
全技术的研究。坚持传统的hacker精神,追求技术的精纯。

WSS 主页:http://www.whitecell.org/
WSS 论坛:http://www.whitecell.org/forum/


补充:后来的测试发现相当多的BBS都有类似问题,包括基于php、cgi、asp的,希望大家自己对自己的论坛进行测试,如有问题,参考本文酌情解决。
展开更多 50%)
分享

猜你喜欢

phpBB BBcode处理的漏洞

Web开发
phpBB BBcode处理的漏洞

IIS 处理 SEARCH 请求漏洞

ASP
IIS 处理 SEARCH 请求漏洞

s8lol主宰符文怎么配

英雄联盟 网络游戏
s8lol主宰符文怎么配

如何限制访问者的ip(PHPBB的代码)

Web开发
如何限制访问者的ip(PHPBB的代码)

phpbb mod for google 完全解决方案

PHP
phpbb mod for google 完全解决方案

lol偷钱流符文搭配推荐

英雄联盟 网络游戏
lol偷钱流符文搭配推荐

JSP漏洞大观

Java JAVA基础
JSP漏洞大观

ASP漏洞集-ASP漏洞分析和解决方法

ASP
ASP漏洞集-ASP漏洞分析和解决方法

lolAD刺客新符文搭配推荐

英雄联盟
lolAD刺客新符文搭配推荐

java 学习笔记(入门篇)_多选择结构switch语句

java 学习笔记(入门篇)_多选择结构switch语句

php注入实例

php注入实例
下拉加载更多内容 ↓