MyBB远程代码执行攻击链（上）——存储型XSS（CVE-2021-27889）

访客4年前 (2021-04-18)黑客文章772

0x00 前言

本文旨在将这个有点复杂的存储型XSS漏洞的形成原理讲清楚，先放全文最关键的部分

问题发生是由于2个特性+1个问题：
特性1：MyCode是一个“宽松的”模板，它允许内嵌的HTML标签被渲染，正如我们将在下面讲述的XSS漏洞
特性2：MyBB的渲染过程会自动检测没有被[url]包围的URL，即未使用MyCode格式的URL，然后转换它们为HTML链接。
问题1：由于HTML编码以及URL编码并未对小括号编码，导致使用正则检索并替换时忽略了小括号

0x01 远程代码执行攻击链概述

国外著名论坛软件MyBB在1.8.16<=版本<=1.8.25受2个漏洞影响，在默认的MyBB配置下，这2个漏洞能被连在一起使用最终导致远程代码执行，漏洞的利用无需管理员账户，普通用户即可。

第1个漏洞（“内嵌的自动URL”导致的持久型XSS——CVE-2021-27889）发生在MyBB的渲染过程，允许任何普通论坛用户来嵌入存储型XSS攻击代码到帖子甚至私信中。

第2个漏洞（“主题属性”导致的SQL注入——CVE-2021-27890）是一个能导致RCE的SQL注入，漏洞能被任何带有管理员会话的用户触发

一个经验丰富的攻击者能够开发一个针对存储型XSS的利用，然后发送一个私信给管理员，管理员登录论坛后打开私信，漏洞被触发，一个RCE的利用代码将在后台自动执行，最终导致完全接管MyBB论坛

0x02 “内嵌的自动URL”导致的持久型XSS（CVE-2021-27889）技术细节

现代论坛软件例如MyBB通常允许普通用户来创建包含图像、视频等的帖子或私信。这个功能必须被小心实现，当这个功能的限制不够严格时，恶意攻击者能够滥用它来以预期外的方式修改论坛内容，甚至，能够注入任意的JavaScript代码到论坛的HTML文档中

现代论坛中，通常有2种方式实现这个功能：
1、允许用户提交HTML标签，然后应用一个允许或拒绝列表来决定输入是否是健全的、安全的，最终决定是否展示给用户
2、使用一个存在的或定制的消息模板，例如Markdown，来从输入中创建健全的HTML输出

这2种方式都有其对应的优缺点。MyBB利用第2种方式，在渲染过程中使用一个叫做MyCode的定制模板

如下是2个例子，看一下MyCode的基本格式以及它是如何被转化的

当用户输入一个MyCode形式的私信，MyBB解析器会先对整个输入进行HTML编码以及URL编码，然后利用一个正则来发现并替换全部的MyCode为HTML

下列的代码片段展示了$message变量被传递给渲染类的mycode_auto_url() ***

mybb/inc/class_parser.php

在527行处的$message变量包含着已经渲染后的HTML结果，因此必须被小心处理，以至于HTML标签或属性不会被破坏。此处的逻辑是，仅仅处理不在HTML标签中的URL，并将其转化为标签

MyBB利用下列的正则来尝试安全的解析不在HTML标签中的URL（此处的正则是被简化的，去掉了对于理解漏洞不相关的部分）
mybb/inc/class_parser.php

正则被|分为2部分：
部分1：匹配任何标签中的内容，在这样的匹配下，没有东西被改变
部分2：URL必须以一个空格（“ ”）或左小括号（“（”）或右小括号（“）”）或左中括号（“[”）或右尖角号（“>”）开始，后面是一个URL地址（这是简化的版本）。在这的逻辑是当一个用户提供的MyCode被转化为了HTML，即使用户控制的数据能被嵌入到一个HTML标签的属性中，它依旧不能包含这5个字符

例如，当MyCode中的[img]被转化为HTML，结果如下

当这样一个图像标签被构造时，将要成为src属性的URL将被去掉全部的空格，然后被HTML编码和URL编码，程序本身的想法是，编码时将去掉这5个字符，因此第2部分正则假设之前的编码已经去掉了这5个字符

然而，URL编码和HTML编码都没有修改小括号，因此构造如下的一个[img]标签，会逃过编码，然后让第2部分正则匹配

在渲染过程的第1阶段，下列标签将被创建

在下一阶段，mycode_auto_url() *** 会匹配第2段URL，正如它以一个没有被编码的右小括号开始。最终的HTML如下：

正如你能看见，一个标签已经 *** 入到存在的标签，因为这2个标签都包含双引号，因此他们会互相影响。浏览器例如Chrome或Firefox将构造一个包含攻击者控制的onerror事件处理器的元素。这允许攻击者执行任意的JavaScript代码在一个读取恶意帖子或私信的受害者浏览器上。