水木社区全站源码泄露(可间接二次代码审计)

#1 概述

漏洞发现原由水木二站的svn信息泄露

漏洞地址：http://bloom.newsmth.net/.svn/entries

HTTP/1.1 200 OK
 content-length: 19803
 via: 1.0 www.2.newsmth.net (squid/3.1.10)
 x-cache: HIT from www.2.newsmth.net
 accept-ranges: bytes
 server: nginx
 last-modified: Tue, 10 Apr 2012 06:12:27 GMT
 connection: keep-alive
 etag: "4f83cf4b-4d5b"
 date: Fri, 11 Mar 2016 05:00:33 GMT
 content-type: application/octet-stream
 x-cache-lookup: HIT from www.2.newsmth.net:8000
 
 10
 
 dir
 11132
 http://svn.kcn.cn/repos/kbs/trunk/www2
 http://svn.kcn.cn/repos/kbs
 
 2012-03-22T12:51:01.977509Z
 11109
 jiangjun

#2 结果这是一个没有访问控制的SVN服务器

#3 水木社区的源码全在这里

http://svn.kcn.cn/repos/kbs
 svn co http://svn.kcn.cn/repos/kbs ./kbs

/* 数据库相关 */
 define("DB_ENABLED", true);
 $dbuser = "wForum";
 $dbpasswd = "fuckatp";
 $dbname = "wForum";
 
 /* 其他附加功能 */
 define("SHOWTELNETPARAM", false);
 define("ALLOW_SYSOP_MULTIQUERY", true);
 define('ALLOW_SELF_MULTIQUERY', true);
 define("SUPPORT_TEX", true);
 define("ONBOARD_USERS", true);

<?php
 if (!defined('_BBS_WWW2_BOARD_PHP_'))
 {
 define('_BBS_WWW2_BOARD_PHP_', 1);
 
 function bbs_boards_navigation_bar()
 {
 ?>
 <p align="center">
 [<a href="<?php echo MAINPAGE_FILE; ?>">首页导读</a>]
 [<a href="bbssec.php">分类讨论区</a>]
 [<a href="bbsxmlbrd.php?flag=2">新开讨论区</a>]
 [<a href="bbsxmlbrd.php?flag=0">推荐讨论区</a>]
 [<a href="bbsxmlbrd.php?flag=1">讨论区人气排名</a>]
 [<a href="bbs0an.php">精华公布栏</a>]
 [<a href="javascript:history.go(-1)">快速返回</a>]
 <br />
 </p>
 <?php 
 }
 
 function undo_html_format($str)
 {
  $str = preg_replace("/&apos;/i", "'", $str);
  $str = preg_replace("/&gt;/i", ">", $str);
  $str = preg_replace("/&lt;/i", "<", $str);
  $str = preg_replace("/&quot;/i", "/"", $str);
  $str = preg_replace("/&amp;/i", "&", $str);
  return $str;
 }
 
 if (version_compare(PHP_VERSION,'5','>='))
  require_once('domxml-php4-to-php5.inc.php'); //Load the PHP5 converter
 
 # iterate through an array of nodes
 # looking for a text node
 # return its content
 function get_content($parent)
 {
  $nodes = $parent->child_nodes();
  while($node = array_shift($nodes))
   if ($node->node_type() == XML_TEXT_NODE)
    return $node->node_value();
  return "";
 }
 
 # get the content of a particular node
 function find_content($parent,$name)
 {
  $nodes = $parent->child_nodes();
  while($node = array_shift($nodes))
   if ($node->node_name() == $name)
    return undo_html_format(urldecode(get_content($node)));
  return "";
 }

用户数据结构

CREATE TABLE IF NOT EXISTS `board_user` (
   `board` varchar(32) COLLATE gbk_bin NOT NULL,
   `user` varchar(32) COLLATE gbk_bin NOT NULL,
   `time` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP,
   `status` int(11) NOT NULL,
   `manager` varchar(32) COLLATE gbk_bin NOT NULL,
   `score` int(11) NOT NULL,
   `flag` bigint(20) NOT NULL,
   UNIQUE KEY `member` (`board`,`user`),
   KEY `board` (`board`),
   KEY `user` (`user`),
   KEY `time` (`time`),
   KEY `flag` (`flag`),
   KEY `status` (`status`),
   KEY `score` (`score`)
 ) ENGINE=InnoDB DEFAULT CHARSET=gbk COLLATE=gbk_bin;

# 删除水木二站的svn问题

# svn server 加入鉴权机制

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2016-03-11 15:59

厂商回复：

是kbs开源项目对外的源码展示站点。不过好久没更新了。谢谢关心

漏洞Rank：5 (WooYun评价)

最新状态：

2016-03-12：.svn目录已经删除了。

1. 2016-03-11 13:35 | cwkiller ( 普通白帽子 | Rank:174 漏洞数:39 | 闭关修炼)

   2

   1L

   1# 回复此人

2. 2016-03-11 13:35 | von ( 路人 | Rank:18 漏洞数:8 | 一个帅字贯穿了我的一生~)

   2

   2L

   2# 回复此人

3. 2016-03-11 13:37 | JutaZ ( 实习白帽子 | Rank:95 漏洞数:14 | 少壮不努力老大徒伤悲)

   2

   3L

   3# 回复此人

4. 2016-03-11 13:37 | cwkiller ( 普通白帽子 | Rank:174 漏洞数:39 | 闭关修炼)

   2

   @von 大兄弟我qq上和你说话怎么不回我

   4# 回复此人

5. 2016-03-11 13:40 | 葫芦岛小弱智 ( 路人 | Rank:29 漏洞数:6 | I want to fresh a Apple table!)

   2

   猪老板，fighting！

   5# 回复此人

6. 2016-03-11 13:44 | linkey ( 实习白帽子 | Rank:89 漏洞数:38 | sqlmap的超爱好者)

   2

   猪猪侠 就是6…

   6# 回复此人

7. 2016-03-11 13:49 | _Thorns ( 普通白帽子 | Rank:1754 漏洞数:269 | 以大多数人的努力程度之低，根本轮不到去拼...)

   2

   关注！

   7# 回复此人

8. 2016-03-11 13:54 | von ( 路人 | Rank:18 漏洞数:8 | 一个帅字贯穿了我的一生~)

   2

   @cwkiller 大哥别闹，我好像不认识你啊= =

   8# 回复此人

9. 2016-03-11 14:30 | backda0 ( 普通白帽子 | Rank:431 漏洞数:98 | none)

   2

   顶顶顶

   9# 回复此人

10. 2016-03-11 14:35 | zmx ( 普通白帽子 | Rank:164 漏洞数:43 | wooyun)

    2

    telnet bbs.tsinghua.edu.cn 有裤子吗？我密码忘了

    10# 回复此人

11. 2016-03-11 15:03 | ω电池ω ( 路人 | Rank:4 漏洞数:2 | neusoft)

    2

    猪猪出品，必是精品

    11# 回复此人

12. 2016-03-11 15:54 | 水木社区(乌云厂商)

    4

    汗，kbs是开源的。。。。。。。。。。。。。。。

    12# 回复此人

13. 2016-03-11 16:55 | hecate ( 普通白帽子 | Rank:823 漏洞数:128 | ®高级安全工程师 | WooYun认证√)

    2

    厂商不服，猪哥用0day搞他

    13# 回复此人

14. 2016-03-11 17:10 | 夏殇 ( 实习白帽子 | Rank:44 漏洞数:26 | 不忘初心，方得始终。)

    2

    秒修复，秒忽略，这就尴尬了

    14# 回复此人

15. 2016-03-11 17:15 | hh2014 ( 普通白帽子 | Rank:1106 漏洞数:255 | )

    2

    这也敢忽略，猪猪侠怒了

    15# 回复此人

16. 2016-03-11 17:18 | 盛大网络(乌云厂商)

    2

    打脸了

    16# 回复此人

17. 2016-03-11 21:02 | Discover ( 实习白帽子 | Rank:37 漏洞数:15 )

    1

    打脸了

    17# 回复此人

18. 2016-03-11 22:33 | BeenQuiver ( 普通白帽子 | Rank:103 漏洞数:27 | 专注而高效，坚持好的习惯千万不要放弃)

    1

    猪哥脚本真吊

    18# 回复此人

19. 2016-03-12 10:55 | 猪猪侠 ( 核心白帽子 | Rank:5372 漏洞数:415 | 你都有那么多超级棒棒糖了，还要自由干吗？)

    1

    这下就有点尴尬了

    19# 回复此人

20. 2016-03-12 13:39 | 坏男孩-A_A ( 实习白帽子 | Rank:81 漏洞数:23 | 膜拜学习中)

    1

    这下就有点尴尬了

    20# 回复此人

21. 2016-03-12 14:24 | 小哲哥 ( 路人 | Rank:30 漏洞数:17 | http://www.fkgeek.com)

    1

    这下就尴尬了

    21# 回复此人

22. 2016-03-13 09:39 | 杨聪 ( 路人 | Rank:0 漏洞数:1 | 新手上路，多多照顾，)

    1

    这下尴尬了

    22# 回复此人

23. 2016-03-13 13:25 | cwkiller ( 普通白帽子 | Rank:174 漏洞数:39 | 闭关修炼)

    1

    这尴尬了

    23# 回复此人

24. 2016-03-13 20:15 | 小思 ( 路人 | Rank:17 漏洞数:2 | 乌云杰出青年 | null)

    1

    这尴尬

    24# 回复此人

25. 2016-03-13 22:46 | Tracy ( 路人 | Rank:6 漏洞数:2 | 吃好，喝好，去挖洞。)

    1

    厂商不服，猪哥用0day搞他

    25# 回复此人

26. 2016-03-14 10:15 | 偶然 ( 普通白帽子 | Rank:609 漏洞数:142 | 我是天空里一片云。)

    1

    尴尬

    26# 回复此人

27. 2016-03-14 10:36 | 佳佳佳佳佳 ( 实习白帽子 | Rank:45 漏洞数:7 | I want to be ur sunshine.)

    1

    这下就有点尴尬了

    27# 回复此人

28. 2016-03-16 14:55 | bit4 ( 路人 | Rank:18 漏洞数:3 | 终于，我也是有ID的人了！)

    1

    不知道大伙发现了没，修复不彻底...是尴尬了！

    28# 回复此人