### 简要描述: (名词解析:DZ=Discuz!;DX=Discuz! X;UC=UCenter;PW=phpwind) 众所周知的是,DZ <= 6.0,PW <= 8.7的用户密码都是简单的md5,存在被拖库后被轻易暴力破解的问题。于是乎康盛在开发UC的时候,就加了salt以防止这个问题。 但是在针对DZ升级和DX转换程序中,对原有信息处理不当,会导致仍然在某些表内遗留简单md5信息。其结果就是一旦网站被攻破拖库,这些历史信息就会被黑客利用。 个人原本都不认为是什么问题的,但是以下这个链接表明,很可能已在黑产界流传: http://weibo.com/1933769763/eDKax2duHJa (请看转发和评论) @Hxai11 所提交的一个漏洞(http://www.wooyun.org/bugs/wooyun-2010-04146 )在这部分的细节上说明有误,商量了一下,还是独立提交一次好了。 希望DX 2.5和PW 9这两个重写代码的程序发布之前,能够妥善处理好升级脚本的问题。 ### 详细说明: (1)DZ <= 6.0的用户信息是存储在cdb_members表中,其password字段是简单的md5; DZ >= 6.1后,password字段仅作为cookie的登录凭据校验,用户在每次密码修改时,均会重新生成一个无关密码的登录凭据校验; 真实的password相关信息存在UCenter cdb_uc_members表中,并且salt过; (2)然而在升级到需要UC的DZ(比如DZ 7.0)时候,针对将cdb_members导入到UCenter cdb_uc_members的升级脚本只是顾着往cdb_uc_members的password加salt,并没有对cdb_members的password进行无害化处理; 这样的结果是,升级过后,如果老用户没有修改密码,这个遗留的md5会一直存在cdb_members中。 (3)更严重的是,DX的转换脚本会原封不动地将DZ的cdb_members password搬动过来,同样没有进行无害化处理,结果导致DZ的问题延伸到DX。 (4)此问题主要影响的是升级到UC后一直没有修改过密码的老用户。这批用户一般对论坛早期的贡献不小,所以出现问题的话,他们也会感到很不解的...... ### 漏洞证明:...
### 简要描述: (名词解析:DZ=Discuz!;DX=Discuz! X;UC=UCenter;PW=phpwind) 众所周知的是,DZ <= 6.0,PW <= 8.7的用户密码都是简单的md5,存在被拖库后被轻易暴力破解的问题。于是乎康盛在开发UC的时候,就加了salt以防止这个问题。 但是在针对DZ升级和DX转换程序中,对原有信息处理不当,会导致仍然在某些表内遗留简单md5信息。其结果就是一旦网站被攻破拖库,这些历史信息就会被黑客利用。 个人原本都不认为是什么问题的,但是以下这个链接表明,很可能已在黑产界流传: http://weibo.com/1933769763/eDKax2duHJa (请看转发和评论) @Hxai11 所提交的一个漏洞(http://www.wooyun.org/bugs/wooyun-2010-04146 )在这部分的细节上说明有误,商量了一下,还是独立提交一次好了。 希望DX 2.5和PW 9这两个重写代码的程序发布之前,能够妥善处理好升级脚本的问题。 ### 详细说明: (1)DZ <= 6.0的用户信息是存储在cdb_members表中,其password字段是简单的md5; DZ >= 6.1后,password字段仅作为cookie的登录凭据校验,用户在每次密码修改时,均会重新生成一个无关密码的登录凭据校验; 真实的password相关信息存在UCenter cdb_uc_members表中,并且salt过; (2)然而在升级到需要UC的DZ(比如DZ 7.0)时候,针对将cdb_members导入到UCenter cdb_uc_members的升级脚本只是顾着往cdb_uc_members的password加salt,并没有对cdb_members的password进行无害化处理; 这样的结果是,升级过后,如果老用户没有修改密码,这个遗留的md5会一直存在cdb_members中。 (3)更严重的是,DX的转换脚本会原封不动地将DZ的cdb_members password搬动过来,同样没有进行无害化处理,结果导致DZ的问题延伸到DX。 (4)此问题主要影响的是升级到UC后一直没有修改过密码的老用户。这批用户一般对论坛早期的贡献不小,所以出现问题的话,他们也会感到很不解的...... ### 漏洞证明: 以uid为1,密码为123(md5:202cb962ac59075b964b07152d234b70)说明。升级步骤为: Discuz! 6.0 -> Discuz! 7.0 -> Discuz! 7.2 ->Discuz! X2 (1)安装DZ 6,此时查表 ``` mysql> use test_dz6 Database changed mysql> SELECT `password` FROM `cdb_members` WHERE `uid` = '1'; +----------------------------------+ | password | +----------------------------------+ | 202cb962ac59075b964b07152d234b70 | +----------------------------------+ 1 row in set (0.00 sec) ``` (2)DZ 6升级到DZ 7 此时根据升级脚本,会自动安装UC。 然而在接下来的DZ cdb_members->UC cdb_uc_members过程中,没有对DZ cdb_members的password进行无害化处理。只是对UC cdb_uc_members之前的password进行了salt然后执行了插入: ``` 120321 11:46:00 30 Connect root@localhost on ...... 30 Init DB test_dz6 31 Init DB test_dz6 30 Query SELECT COUNT(*) FROM cdb_members 30 Query SELECT * FROM cdb_members LIMIT 0, 5000 31 Query SELECT uid, salt, password FROM `test_dz6`.cdb_uc_members WHERE username='admin' 31 Query INSERT LOW_PRIORITY INTO `test_dz6`.cdb_uc_members SET uid='1', username='admin', password='0487ba3a48962bac0faefbf0f7274604', secques='', email='name@domain.com', regip='hidden', regdate='1332300551', salt='882693' 31 Query INSERT LOW_PRIORITY INTO `test_dz6`.cdb_uc_memberfields SET uid='1' 30 Quit 31 Quit ``` 结果: ``` mysql> SELECT `password` FROM `cdb_members` WHERE `uid` = '1'; +----------------------------------+ | password | +----------------------------------+ | 202cb962ac59075b964b07152d234b70 | +----------------------------------+ 1 row in set (0.00 sec) mysql> SELECT `password`, `salt` FROM `cdb_uc_members` WHERE `uid` = '1'; +----------------------------------+--------+ | password | salt | +----------------------------------+--------+ | 0487ba3a48962bac0faefbf0f7274604 | 882693 | +----------------------------------+--------+ 1 row in set (0.00 sec) ``` (3)DZ 7升级到DZ 7.2 没有什么变化 (4)安装DX 2 ``` 234 Query REPLACE INTO pre_common_member (uid, username, password, adminid, groupid, email, regdate) VALUES ('1', 'admin', '9503092fc99906246aa57a7b189c982c', '1', '1', 'admin@admin.com', '1332303242') ``` 此时uid为1的值,已经进行了一次无害化处理: ``` mysql> SELECT `password` FROM `pre_common_member` WHERE `uid` = '1'; +----------------------------------+ | password | +----------------------------------+ | 9503092fc99906246aa57a7b189c982c | +----------------------------------+ 1 row in set (0.00 sec) ``` (5)DZ 7.2数据导入到DX 2中 转换脚本在执行DZ cdb_members->DX pre_common_member导入过程中,由于没有对password进行无害化处理,结果md5(123)又回来了。 ``` 120321 12:22:40 240 Query ...... 240 Query use `test_dz6` ...... 240 Query use `test_dx2utf8` 240 Query TRUNCATE `test_dx2utf8`.pre_common_member 240 Query SELECT * FROM `test_dz6`.cdb_members WHERE uid>'' ORDER BY uid LIMIT 1000 ...... 240 Query INSERT INTO `test_dx2utf8`.pre_common_member SET `uid`='1',`username`='admin',`password`='202cb962ac59075b964b07152d234b70',`adminid`='1',`groupid`='1',`groupexpiry`='0',`extgroupids`='',`regdate`='1332300551',`credits`='0',`email`='name@domain.com',`timeoffset`='9999',`accessmasks`='0',`allowadmincp`='1',`notifysound`='0' ...... ``` ``` mysql> SELECT `password` FROM `pre_common_member` WHERE `uid` = '1'; +----------------------------------+ | password | +----------------------------------+ | 202cb962ac59075b964b07152d234b70 | +----------------------------------+ 1 row in set (0.00 sec) ```
