phpBB BBcode处理的漏洞


Posted in PHP onOctober 09, 2006

发布日期:2002-04-3
漏洞类别:PHP,远程WEB接口,拒绝服务

bugtraq ID 4432、4434

存在问题的版本:

    phpBB 1.44,更低的版本及 phpBB 2.0 未测试。

描述:

    phpBB是一个被广泛应用的基于PHP的论坛。发现其BBcode中对于“源代码”类的引用处
理存在漏洞,通过发送特殊格式的转义字符串可导致数据库的损坏以及服务器的 CPU、内存
资源大量消耗。

详细:

    phpBB在对“源代码”类的引用处理不当,主要是为了要支持镶套的标记
而造成的。有问题的代码是functions.php中的bbencode_code函数。

    当我们提交一个这样的贴子:

实际向数据库中存储的数据是这样:

[1code]
\0\0\0\0\0\0\0
[/code1][1code]
\0\0\0\0\0\0\0
[/code1][1code]
\0\0\0\0\0\0\0
[/code1][1code]
\0\0\0\0\0\0\0
[/code1][1code]
\0\0\0\0\0\0\0
[/code1][1code]
\0\0\0\0\0\0\0
[/code1][1code]
\0\0\0\0\0\0\0
[/code1]

即实际系统要负担的数据量是输入的“\0”的数量的平方,如果发送 1 MByte的数据,系统
实际处理的数据将接近 1 TByte。

这是我们在实验机器上发送一个包含''*800的帖子时的资源占用情况:

PID  USER      PRI  NI  SIZE  RSS SHARE STAT %CPU %MEM   TIME COMMAND
8643 nobody    13   0   212M  81M 13604 D     8.0 65.7   0:07 httpd

提交贴子后会提示出错:

Could not enter post text!

但实际上贴子的标题和提交者这两个数据已存到数据库中,但内容和其他一些数据没有,所
以打开的时候会出现错误页面。而且这样的帖子无法用正常的方法删掉,只能用直接连接到
数据库来删除。以下是提交不同数据量的结果:

''* =<583  正常贴上,可以删除
''* 584    正常贴上,可以编辑,但不能删除
''* 585    提示 Could not enter post text! 但贴子也没有
''* 586    正常贴上,可以删除
''* 587    提示 Could not enter post text! 但贴子也没有
''* 588    正常贴上,可以删除
''* 589    提示 Could not enter post text! 但贴子也没有
''* >=590  提示 Could not enter post text! 出现删不掉的帖子

如果发送镶套的标记则占用资源更多,我们在实验机器上发送这样的帖子:

[code]\0
\0[/code]

虽然只有49Byte的数据,但资源占用非常可观:
  PID USER     PRI  NI  SIZE  RSS SHARE STAT %CPU %MEM   TIME COMMAND
25741 nobody    14   0 11828 9996   416 R    99.9  7.8   2:38 httpd

几秒钟后产生了大量的数据,内存大量消耗:
  PID USER     PRI  NI  SIZE  RSS SHARE STAT %CPU %MEM   TIME COMMAND
    3 root      10   0     0    0     0 SW    2.5  0.0   4:13 kswapd
25742 nobody    17   0  265M  90M 52104 R    25.1 73.0   1:45 httpd

这样的镶套帖子是不会存储到数据库中的,但随着镶套的增加资源的占用会按照几何级数递
增。如果一次发送更多数据,或者不断的发送,可以导致系统资源大量占用,最终拒绝服务。

实验环境:linux 2.4.10   Apache/1.3.23   PHP 4.12

解决方案:

1、暂时禁用BBcode。
2、alert7给出了functions.php的如下修改方法,暂时停用对镶套标记的支持:

把773行开始的bbencode_code函数改为:

function bbencode_code($message, $is_html_disabled)
{
$message = preg_replace("/\[code\](.*?)\[\/code\]/si", "<!-- BBCode Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Code:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><PRE>\\1</PRE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode End -->", $message);
return $message;

} // bbencode_code()

    对于无法正常删除的帖子,需要手工连接数据库删除。假设有这样一个帖子:
http://host/forums/viewtopic.php?topic=1162&forum=1&0
可以这样:
$ mysql -uuser -ppasswd
mysql> use databasename;
mysql> select *  from topics where topic_id = 1162; //得到post_id
mysql> delete from posts where post_id = 6280;
mysql> delete from posts_text where post_id = 6280;
mysql> delete  from topics where topic_id = 1162;

关于我们:

    WSS (Whitecell Security Systems),一个非营利性民间技术组织,致力于各种系统安
全技术的研究。坚持传统的hacker精神,追求技术的精纯。

WSS 主页:http://www.whitecell.org/
WSS 论坛:http://www.whitecell.org/forum/

补充:后来的测试发现相当多的BBS都有类似问题,包括基于php、cgi、asp的,希望大家自己对自己的论坛进行测试,如有问题,参考本文酌情解决。

PHP 相关文章推荐
PHP_Flame(Version:Progress)的原代码
Oct 09 PHP
在Windows中安装Apache2和PHP4的权威指南
Oct 09 PHP
使用sockets:从新闻组中获取文章(三)
Oct 09 PHP
php 数组的创建、调用和更新实现代码
Mar 09 PHP
PHP的博客ping服务代码
Feb 04 PHP
PHP中的错误处理、异常处理机制分析
May 07 PHP
PHP number_format() 函数定义和用法
Jun 01 PHP
destoon实现底部添加你是第几位访问者的方法
Jul 15 PHP
PHP实现根据设备类型自动跳转相应页面的方法
Jul 24 PHP
php隐藏IP地址后两位显示为星号的方法
Nov 21 PHP
功能强大的PHP POST提交数据类
Jul 15 PHP
PHP创建对象的六种方式实例总结
Jun 27 PHP
用IE远程创建Mysql数据库的简易程序
Oct 09 #PHP
PHP使用者状态管理功能的应用
Oct 09 #PHP
PHP安全编程之加密功能
Oct 09 #PHP
PHP中的加密功能
Oct 09 #PHP
PHP编程网上资源导航
Oct 09 #PHP
如何使用动态共享对象的模式来安装PHP
Oct 09 #PHP
PHP开发文件系统实例讲解
Oct 09 #PHP
You might like
支持数组的ADDSLASHES的php函数
2010/02/16 PHP
php gzip压缩输出的实现方法
2013/04/27 PHP
PHP中substr()与explode()函数用法分析
2014/11/24 PHP
PHP的PDO连接讲解
2019/01/24 PHP
javascript 对表格的行和列都能加亮显示
2008/12/26 Javascript
图片轮换效果实现代码(点击按钮停止执行)
2013/04/12 Javascript
js判断浏览器类型的方法
2013/08/07 Javascript
js日期联动示例
2014/05/02 Javascript
JavaScript基础篇(6)之函数表达式闭包
2015/12/11 Javascript
js document.getElementsByClassName的使用介绍与自定义函数
2016/11/25 Javascript
原生js实现可爱糖果数字时间特效
2016/12/30 Javascript
easyui datebox 时间限制,datebox开始时间限制结束时间,datebox截止日期比起始日期大的实现代码
2017/01/12 Javascript
关于Sequelize连接查询时inlude中model和association的区别详解
2017/02/27 Javascript
详解React的回调渲染模式
2020/09/10 Javascript
python文件和目录操作方法大全(含实例)
2014/03/12 Python
在服务器端实现无间断部署Python应用的教程
2015/04/16 Python
八大排序算法的Python实现
2021/01/28 Python
python实现判断一个字符串是否是合法IP地址的示例
2018/06/04 Python
基于Python开发chrome插件的方法分析
2018/07/07 Python
Python中if有多个条件处理方法
2020/02/26 Python
如何搭建pytorch环境的方法步骤
2020/05/06 Python
Python远程方法调用实现过程解析
2020/07/28 Python
Python编写单元测试代码实例
2020/09/10 Python
使用HTML5做的导航条详细步骤
2020/10/19 HTML / CSS
Dr.Jart+美国官网:韩国药妆品牌
2019/01/18 全球购物
美国精品地毯网站:Boutique Rugs
2020/03/04 全球购物
幼儿园大班教学反思
2014/02/10 职场文书
《阳光》教学反思
2014/02/23 职场文书
党性锻炼的心得体会
2014/09/03 职场文书
授权委托书协议书
2014/10/16 职场文书
服务员岗位职责
2015/02/03 职场文书
检察院起诉书
2015/05/20 职场文书
单位同意报考证明
2015/06/17 职场文书
2016年寒假政治学习心得体会
2015/10/09 职场文书
vue.js 使用原生js实现轮播图
2022/04/26 Vue.js
win10蓝屏0xc0000001安全模式进不了怎么办?win10出现0xc0000001的解决方法
2022/08/05 数码科技