Latest posts for the topic "[Thảo luận] Lỗi ở đâu và đây là lỗi gì !?"

[Thảo luận] Lỗi ở đâu và đây là lỗi gì !?

Quan Vân Trường — GMT

Hình như QVT "có duyên" với PBLang Forum (1). Cách đây vài ngày, có dịp ngó sơ qua nó lần nữa thì thấy nó lại có bug. Bug lần này nằm tại file sendpm.php (có thể các file khác vẫn có bug, nhưng QVT ko có thời gian để mò tiếp). Đây là source code của nó: Code:

'."\n";
		WriteTableTop($form_tag);
		echo "";
		echo "$sitetitle :: $PrivateMessaging :: $VSendMessage";
		echo "$VInbox";
		echo " :: $VSendPM";
		if ($rmsg){
			echo "";
			echo "$VOriginalPM $VFrom $to:

$rmsg
";
			echo "";
		}
		echo "$VTo:";
		echo "";
		echo "$VSubject:";
		echo "";
		echo "$VMessage:";
		echo "$msg";
		echo " ";
		echo "";
		sbot(1);
	} else {
		$to=strip_tags($_POST['to']);
		$msg=strip_tags(stripslashes($_POST['msg']));
		$subj=strip_tags(stripslashes($_POST['subj']));
		$pmstat="1";
		if (trim($to)=="") {
			ErrorMessage($AuthorRequired,$liusername);
		} else {
			$filet=$dbpath."/pm/".$to;
			if (file_exists($filet)) {
				$filename = "$dbpath/pm/$to"."_tot";
				if (!file_exists($filename))
						{$filename=str_replace("_"," ",$filename);}
				$fd = fopen ($filename, "r");
				$num = fread ($fd, filesize ($filename));
				fclose ($fd);
				$num++;
				$fp = fopen("$dbpath/pm/$to"."_tot", "w");
				fputs($fp, $num);
				fclose($fp);
				$filename = "$dbpath/pm/$to";
				$fd = fopen ($filename, "r");
				$num = fread ($fd, filesize ($filename));
				fclose ($fd);
				$num++;
				$fp = fopen("$dbpath/pm/$to", "w");
				fputs($fp, $num);
				fclose($fp);

				setlocale(LC_TIME,$LangLocale);
				$date = time()+($timezone*3600);
				$fp = fopen("$dbpath/pm/$to"."_$num"."_a", "w");
				fputs($fp, $liusername);
				fclose($fp);
				$fp = fopen("$dbpath/pm/$to"."_$num"."_d", "w");
				fputs($fp, $date);
				fclose($fp);
				$fp = fopen("$dbpath/pm/$to"."_$num"."_c", "w");
				if ($msg==''){
					$msg='-- '.$VEmpty.' --';
				}
				fputs($fp, $msg);
				fclose($fp);
				$fp = fopen("$dbpath/pm/$to"."_$num"."_s", "w");
				fputs($fp, $subj);
				fclose($fp);
				$fp = fopen("$dbpath/pm/$to"."_$num"."_pmstat", "w");
				fputs($fp, $pmstat);
				fclose($fp);
				msg($VSent,"$MessageSent!");
//				echo "";
			} else {
					ErrorMessage($InvalidUsername,$liusername);
			}
		}
	}
	writefooter($newestm);
}else{
     include("login.php");
}
ob_end_flush();
?>

Xin mời mọi người cùng thảo luận xem: Lỗi ở đâu và đây là lỗi gì. Cuối cùng là nguyên nhân chính phát sinh ra lỗi cùng với cách khắc phục nó. (1): PBLang Forum là 1 sản phẩm của Dr. Martinus (Download tại: http://sourceforge.net/projects/pblang/). Đây là 1 source code diễn đàn khá tiện dụng vì không cần đến DB mà chỉ sử dụng file để lưu giữ thông tin. Các hoạt động của PBLang đều dựa trên việc thao tác với file, chính vì điều này đã làm cho nó trở nên dễ phát sinh lỗi.

Re: [Thảo luận] Lỗi ở đâu và đây là lỗi gì !?

ThíchHắcKinh — GMT

Mới soi thêm cái này biến này nữa $dbpath $to=strip_tags($_POST['to']);

Nhìn qua nhìn lại chỉ thấy các chỗ đó có vấn đề. Và mấu chốt quanh đi quẩn lại cái biến đó. Vì chưa dùng qua forum PBLang này nên chưa thử với nó. Vả lại thẻ code hơi khó đọc . Mong diễn đàn sớm đưa cái google-syntax-highlighter vào hy vọng code sẽ rõ ràng hơn.

Re: [Thảo luận] Lỗi ở đâu và đây là lỗi gì !?

Quan Vân Trường — GMT

@ThíchHắcKinh: Theo anh là "có vấn đề" như thế nào ạh :) ?? Mời thảo luận :)..

Re: [Thảo luận] Lỗi ở đâu và đây là lỗi gì !?

gái quê — GMT

ko thấy ai nói gì nên em gái xin phép múa rìu xíu :

$subj=strip_tags(stripslashes($_GET['subj'])); $msg=strip_tags(stripslashes($_GET['msg'])); $orgp=strip_tags(stripslashes($_GET['orig'])); $orgp=str_replace('/','',$orgp); //make sure no other URL is being used $orgp=str_replace(chr(92),'',$orgp); //make sure no other URL is being used $pmstat="3"; $fp = fopen($dbpath."/pm/".$liusername."_".$num."_pmstat", "w"); fputs($fp, $pmstat); fclose($fp)

xem đoạn code trên, mặc dù biến $orgp đã được "làm sạch" các ký tự meta bằng các hàm stripslashes, $orgp=str_replace('/','',$orgp); để tránh bị XSS và Directory transversal nhưng vẫn có thể bị lợi dụng .. Lợi dụng như thế nào ?? PBLang save các tin nhắn của member trong thư mục /db/pm với format $member_$i_$x trong đó $i là số thứ tự tên tin nhắn của $member đó, $x=c (c= content) để lưu nội dung tin nhắn, hoặc $x=s (s=subject) ..Vì thế mặc dù ko tấn công kiểu Directory transversal được qua biến $_GET['orig'] được, nhưng dùng biến này có thể đọc lén được những tin nhắn của người khác

if (trim($orgp)!=''){ $filename=$dbpath.'/pm/'.$orgp; if (file_exists($filename)){ $fd=@fopen($filename,"r"); $rmsg=@fread($fd,filesize($filename)); @fclose($fd); }

ex:

http://localhost/PBlang/sendpm.php?to=admin&subj=aaa&num=1&orig=admin_1_c

--> đọc nội dung tin nhắn thứ 1 của account admin (còn tiếp ) :)

Re: [Thảo luận] Lỗi ở đâu và đây là lỗi gì !?

Quan Vân Trường — GMT

@gái quê: chính xác ;). Đó là 1 bug. Bật mí thêm tí xíu. Nó vẫn bị path transversal đấy ;)..

Re: [Thảo luận] Lỗi ở đâu và đây là lỗi gì !?

ThíchHắcKinh — GMT

Chỉ theo kinh nghiệm thấy nó có vấn đề. :D

$filename = "$dbpath/pm/$to"; $fd = fopen ($filename, "r"); $num = fread ($fd, filesize ($filename)); fclose ($fd); $num++; $fp = fopen("$dbpath/pm/$to", "w"); fputs($fp, $num); fclose($fp);

Hehe ... Dạo này đang tập tành code với PHP nên không dám lạm bàn nữa .. vả lại cái PBLang chưa có dịp ngâm qua nên chưa hiểu rõ nó hehe ...xin rút lui .. Quan Van Trường chỉ điểm vậy :D :D

Re: [Thảo luận] Lỗi ở đâu và đây là lỗi gì !?

conmale — GMT

Những ứng dụng web dính dáng đến khả năng viết trực tiếp vào filesystem luôn luôn có những hiểm họa bảo mật. Đặc biệt quy trình input validation thiếu chặt chẽ thì không ít thì nhiều sẽ bị lỗi bảo mật. Cách khắc phục an toàn nhất có lẽ là thiết kế lại ứng dụng và dùng một DB hoàn chỉnh thay vì dùng file trên filesystem.

Re: [Thảo luận] Lỗi ở đâu và đây là lỗi gì !?

lion_king_lovely_1985 — GMT

Việc chèn trực tiếp nội dung tin vào file như thế. Điều gì sẽ xảy ra nếu chúng ta chèn vào file đó 1 dãy các code PHP hoặc code có khả năng bind được. Và chúng ta xài script hoặc shell run trực tiếp các mã lệnh trong file đó -> đưa file $to, $filename trở thành 1 file có khả năng run các mã lệnh PHP. với những biến nhạy cảm trong đó!!!???!!! Kiếm tra cấu trúc của cái file pm này của mỗi thành viên đều lưu lại ở dạng khá đơn giản. Vậy có run được ko??? Lại cùng thảo luận nào!!! $filename = "$dbpath/pm/$to"; $fd = fopen ($filename, "r");

Re: [Thảo luận] Lỗi ở đâu và đây là lỗi gì !?

Quan Vân Trường — GMT

Hi LKL, nếu là PBLang cách đây 2 năm thì có thể chèn code được như vậy (vì khi ấy nó ko lọc các input, XSS tè le). Còn bi giờ, nó đã lọc XSS nên các code php chèn vào cũng sẽ bị vô hiệu luôn :). Thân.

Re: [Thảo luận] Lỗi ở đâu và đây là lỗi gì !?

Quan Vân Trường — GMT

Thêm gợi ý để "cứu ế" chủ đề: code phát sinh lỗi nằm từ dòng 83 trở đi. Xin mới tiếp tục thảo luận.. Thân.

Re: [Thảo luận] Lỗi ở đâu và đây là lỗi gì !?

gamma95 — GMT

Các bác khi test lỗi "Path transversal" trong trường hợp này lưu ý là biến nhận vào dạng $_POST nên phải test theo kiểu POST thì mới ra vấn đề nhé, chứ test kiểu $_GET bằng cách input ../../../ này nọ ngay trên URL thì ko ra đâu

Re: [Thảo luận] Lỗi ở đâu và đây là lỗi gì !?

lion_king_lovely_1985 — GMT

Quan Vân Trường wrote:

Thêm gợi ý để "cứu ế" chủ đề: code phát sinh lỗi nằm từ dòng 83 trở đi. Xin mới tiếp tục thảo luận.. Thân.

Đoạn này theo nhận định của LKL thì chỉ toàn là cách thức đặt tên file, và ghi giữ liệu vào file của người nhận messenger. Vậy có phải ý QVT muốn nói ở đây là dựa vào nguyên tắc đó, hoàn toàn chúng ta có thể dịch ra được đường dẫn và tên file kia rồi down về và đọc đựoc PM đó? Ko biết đó có phải là ý mà QVT muốn nhắc đến!?! Thân LKL!!!

Re: [Thảo luận] Lỗi ở đâu và đây là lỗi gì !?

Quan Vân Trường — GMT

lion_king_lovely_1985 wrote:

Quan Vân Trường wrote:

Thêm gợi ý để "cứu ế" chủ đề: code phát sinh lỗi nằm từ dòng 83 trở đi. Xin mới tiếp tục thảo luận.. Thân.
Đoạn này theo nhận định của LKL thì chỉ toàn là cách thức đặt tên file, và ghi giữ liệu vào file của người nhận messenger. Vậy có phải ý QVT muốn nói ở đây là dựa vào nguyên tắc đó, hoàn toàn chúng ta có thể dịch ra được đường dẫn và tên file kia rồi down về và đọc đựoc PM đó? Ko biết đó có phải là ý mà QVT muốn nhắc đến!?! Thân LKL!!!

Gần gần đúng rồi đây. Nhưng cái chúng ta cần không chỉ là các PM đó thôi đâu, còn nhiều thứ khác nữa mà ;). Thân.

Re: [Thảo luận] Lỗi ở đâu và đây là lỗi gì !?

Quan Vân Trường — GMT

Gợi ý tiếp theo: lợi dụng Debug Error..

Re: [Thảo luận] Lỗi ở đâu và đây là lỗi gì !?

Luke — GMT

Lập trình kiểu này đọc đau cả mắt T_T QVT định hại anh em hả, cả lũ cận lòi rồi. Anh bó tay ^:)^

Re: [Thảo luận] Lỗi ở đâu và đây là lỗi gì !?

StarGhost — GMT

Luke wrote:

Lập trình kiểu này đọc đau cả mắt T_T QVT định hại anh em hả, cả lũ cận lòi rồi. Anh bó tay ^:)^

Thế kiểu nào mới ko đau mắt vậy? Ko phải của mình viết ra thì tất nhiên là đau mắt rồi, nếu chưa đọc nó bao giờ thì càng nhức hơn. Với lại QVT cho biết thêm là để exploit được thì có cần phải đọc toàn bộ code của PBLang(để xem có nên tiếp tục ko) ko vậy, chứ chỉ riêng file này thôi thì nó chỉ có mục đích là tạo 1 số file, có thể dùng path traversal(thấy mọi người toàn dùng transversal) để tạo file ở các thư mục khác, nên cũng chưa thấy lỗi lãi gì lắm. Còn cái hint Debug error, thì quả thật mình chịu thua.

Re: [Thảo luận] Lỗi ở đâu và đây là lỗi gì !?

Quan Vân Trường — GMT

@StarGhost: tất cả nằm trong file đó hết :).. Thân.

Re: [Thảo luận] Lỗi ở đâu và đây là lỗi gì !?

StarGhost — GMT

Quan Vân Trường wrote:

Gợi ý tiếp theo: lợi dụng Debug Error..

Hmm, nếu display_errors=Off (by default) thì làm sao lợi dụng được hả bro.

Re: [Thảo luận] Lỗi ở đâu và đây là lỗi gì !?

Quan Vân Trường — GMT

Thì ko lợi dụng được ạh :D.. Mời thảo luận tiếp :)..

Re: [Thảo luận] Lỗi ở đâu và đây là lỗi gì !?

StarGhost — GMT

Quan Vân Trường wrote:

Thì ko lợi dụng được ạh :D.. Mời thảo luận tiếp :)..

hì hì, nếu vậy thì chỉ cần gửi pm to: ../members/admin thì lập tức mọi thông tin về user admin (quan trọng nhất là pass md5) sẽ được display dưới dạng error của fopen. Thường thì display_errors chỉ nên để On trong giai đoạn developing thôi, nếu ko thì risk vô cùng. Thực ra mình nghĩ là người phát triển PBLang cũng giả định như thế, vì trước kia sendpm.php cũng bị lỗi directory traversal, nên chắc chắn sau đó phải được kiểm tra lại rất cẩn thận.

Re: [Thảo luận] Lỗi ở đâu và đây là lỗi gì !?

Quan Vân Trường — GMT

@StarGhost: Đáp án chính xác :D.. Phiền bạn chỉ ra đoạn code đó cho mọi người cùng thấy ;).. Cám ơn bạn đã tham gia vào chủ đề. Thân.

Re: [Thảo luận] Lỗi ở đâu và đây là lỗi gì !?

StarGhost — GMT

Quan Vân Trường wrote:

@StarGhost: Đáp án chính xác :D.. Phiền bạn chỉ ra đoạn code đó cho mọi người cùng thấy ;).. Cám ơn bạn đã tham gia vào chủ đề. Thân.

giả sử đường dẫn đến thư mục PBLang là /html/PBLang. Đầu tiên, user type vào mục to ở trang sendpm.php với nội dung: ../members/admin Như vậy ở dòng 77, biến $to sẽ được gán với giá trị "../members/admin" Sau đó ở dòng 96, biến $filename sẽ được gán với giá trị: "/html/PBLang/db/pm/../members/admin", thực chất sẽ là "html/PBLang/db/members/admin", tức là file chứa toàn bộ thông tin về admin. Ở dòng 98, toàn bộ thông tin trong file ở trên sẽ được đọc ra biến $num, mà sau đó ở các dòng 107, 110, 113, 119, 122 biến này sẽ được dùng làm tên file. Và hiển nhiên fopen sẽ báo lỗi, như vậy tên file sẽ được hiển thị, tức là toàn bộ giá trị của $num hay là toàn bộ thông tin về admin sẽ được hiển thị lên màn hình. Lỗi này thực ra khá đơn giản (đến 1 noob PHP như mình còn phát hiện được), tuy nhiên, sở dĩ ko ai trả lời chắc là vì ai cũng đinh ninh rằng error debugging đã bị tắt rồi. Có lẽ lần sau QVT nên chú thích rõ hơn.

Re: [Thảo luận] Lỗi ở đâu và đây là lỗi gì !?

lion_king_lovely_1985 — GMT

The End!!! Mục đích thì ai cũng biết là gì rồi ^^. Chỉ có điều phương thức thì quả thực đôi khi ngẩn ngơ thế nào ấy hjx...!!! ( about myself -> tránh hỉu lầm ^^) Thân LKL!!!

Re: [Thảo luận] Lỗi ở đâu và đây là lỗi gì !?

vivashadow — GMT

Đoạn code có 1 số điểm yếu, trên phần if với GET thì kiểm tra độ dài input, phần else cho POST thì bỏ qua. 2 dòng check slash lại bỏ qua với $to Code:

$to=strip_tags($_POST['to']);
$msg=strip_tags(stripslashes($_POST['msg']));
$subj=strip_tags(stripslashes($_POST['subj']));

Ngôn ngữ có auto type casting mềm dẻo quá thường dễ mắc lỗi hơn, nếu ngôn ngữ khác thì $num theo mong muốn sẽ không thể chứa chuỗi, $num++ sẽ bung lỗi.