MyBB远程代码执行攻击链(上)——存储型XSS(CVE-2021-27889) – 作者:yibudengtian

0x00 前言

本文旨在将这个有点复杂的存储型XSS漏洞的形成原理讲清楚,先放全文最关键的部分

问题发生是由于2个特性+1个问题:
特性1:MyCode是一个“宽松的”模板,它允许内嵌的HTML标签被渲染,正如我们将在下面讲述的XSS漏洞
特性2:MyBB的渲染过程会自动检测没有被[url]包围的URL,即未使用MyCode格式的URL,然后转换它们为HTML链接。
问题1:由于HTML编码以及URL编码并未对小括号编码,导致使用正则检索并替换时忽略了小括号

0x01 远程代码执行攻击链概述

国外著名论坛软件MyBB在1.8.16<=版本<=1.8.25受2个漏洞影响,在默认的MyBB配置下,这2个漏洞能被连在一起使用最终导致远程代码执行,漏洞的利用无需管理员账户,普通用户即可。

第1个漏洞(“内嵌的自动URL”导致的持久型XSS——CVE-2021-27889)发生在MyBB的渲染过程,允许任何普通论坛用户来嵌入存储型XSS攻击代码到帖子甚至私信中。

第2个漏洞(“主题属性”导致的SQL注入——CVE-2021-27890)是一个能导致RCE的SQL注入,漏洞能被任何带有管理员会话的用户触发

一个经验丰富的攻击者能够开发一个针对存储型XSS的利用,然后发送一个私信给管理员,管理员登录论坛后打开私信,漏洞被触发,一个RCE的利用代码将在后台自动执行,最终导致完全接管MyBB论坛

0x02 “内嵌的自动URL”导致的持久型XSS(CVE-2021-27889)技术细节

现代论坛软件例如MyBB通常允许普通用户来创建包含图像、视频等的帖子或私信。这个功能必须被小心实现,当这个功能的限制不够严格时,恶意攻击者能够滥用它来以预期外的方式修改论坛内容,甚至,能够注入任意的JavaScript代码到论坛的HTML文档中

现代论坛中,通常有2种方式实现这个功能:
1、允许用户提交HTML标签,然后应用一个允许或拒绝列表来决定输入是否是健全的、安全的,最终决定是否展示给用户
2、使用一个存在的或定制的消息模板,例如Markdown,来从输入中创建健全的HTML输出

这2种方式都有其对应的优缺点。MyBB利用第2种方式,在渲染过程中使用一个叫做MyCode的定制模板

如下是2个例子,看一下MyCode的基本格式以及它是如何被转化的

[url]https://blog.sonarsource.com[/url]
 = <a href="https://blog.sonarsource.com">https://blog.sonarsource.com</a>
[b]Hello, World![/b] 
 = <strong>Hello, World!</strong>

当用户输入一个MyCode形式的私信,MyBB解析器会先对整个输入进行HTML编码以及URL编码,然后利用一个正则来发现并替换全部的MyCode为HTML

问题发生是由于2个特性+1个问题:
特性1:MyCode是一个“宽松的”模板,它允许内嵌的HTML标签被渲染,正如我们将在下面讲述的XSS漏洞
特性2:MyBB的渲染过程会自动检测没有被[url]包围的URL,即未使用MyCode格式的URL,然后转换它们为HTML链接。
问题1:由于HTML编码以及URL编码并未对小括号编码,导致使用正则检索并替换时忽略了小括号

下列的代码片段展示了$message变量被传递给渲染类的mycode_auto_url()方法

mybb/inc/class_parser.php

525         if($mybb->settings['allowautourl'] == 1)
 526         {
 527             $message = $this->mycode_auto_url($message);
 528         }
 529 
 530         return $message;

在527行处的$message变量包含着已经渲染后的HTML结果,因此必须被小心处理,以至于HTML标签或属性不会被破坏。此处的逻辑是,仅仅处理不在HTML标签中的URL,并将其转化为<a>标签

MyBB利用下列的正则来尝试安全的解析不在HTML标签中的URL(此处的正则是被简化的,去掉了对于理解漏洞不相关的部分)
mybb/inc/class_parser.php

1618   $message = preg_replace_callback(
        "#<a\\s[^>]*>.*?</a>|([\s\(\)\[\>])(www|ftp)\.([\w|\d\-./]+)#ius", 
          array($this, 'mycode_auto_url_callback'), 
          $message);

正则被|分为2部分:
部分1:匹配任何<a>标签中的内容,在这样的匹配下,没有东西被改变
部分2:URL必须以一个空格(“ ”)或左小括号(“(”)或右小括号(“)”)或左中括号(“[”)或右尖角号(“>”)开始,后面是一个URL地址(这是简化的版本)。在这的逻辑是当一个用户提供的MyCode被转化为了HTML,即使用户控制的数据能被嵌入到一个HTML标签的属性中,它依旧不能包含这5个字符

例如,当MyCode中的[img]被转化为HTML,结果如下

[img]http://xyzsomething.com/image.png[/img]
 = <img src="http://xyzsomething.com/image.png" />

当这样一个图像标签被构造时,将要成为src属性的URL将被去掉全部的空格,然后被HTML编码和URL编码,程序本身的想法是,编码时将去掉这5个字符,因此第2部分正则假设之前的编码已经去掉了这5个字符

然而,URL编码和HTML编码都没有修改小括号,因此构造如下的一个[img]标签,会逃过编码,然后让第2部分正则匹配

[img]http://xyzsomething.com/image?)http://x.com/onerror=alert(1);//[/img]

在渲染过程的第1阶段,下列标签将被创建

<img src="http://xyzsomething.com/image?)http://x.com/onerror=alert(1);//"

在下一阶段,mycode_auto_url()方法会匹配第2段URL,正如它以一个没有被编码的右小括号开始。最终的HTML如下:

<img src="http://xyzsomething.com/image?)<a href=" http:="" x.com="" 
 onerror="alert(1);//&quot;" target="_blank" rel="noopener" class="mycode_url">

正如你能看见,一个<a>标签已经被插入到存在的标签,因为这2个标签都包含双引号,因此他们会互相影响。浏览器例如Chrome或Firefox将构造一个包含攻击者控制的onerror事件处理器的元素。这允许攻击者执行任意的JavaScript代码在一个读取恶意帖子或私信的受害者浏览器上。

0x03 思考总结

现代漏洞攻击,越来越趋向:“多个特性、问题造成漏洞,多个漏洞造成RCE攻击链”

0x04 参考链接

https://blog.sonarsource.com/mybb-remote-code-execution-chain

来源:freebuf.com 2021-03-23 14:11:08 by: yibudengtian

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论