1.fabric-sdk-goçç®å使ç¨
2.找tpl是源码什么意思?
3.Discuz!ML 3.x任意代码执行漏洞之大佬分析之后我分析
fabric-sdk-goçç®å使ç¨
使ç¨fabricæä¾çcryptogenå·¥å ·çææ件模æ¿$ cryptogen showtemplate > crypto-config.yaml
è¿è¡ä¿®æ¹,æ·»å ä¸ä¸ªç»ç»,ä¸ä¸ªordererèç¹.
æ ¹æ®crypto-config.yamlæ件çæè¯ä¹¦æ件:
$ cryptogen generate --config=crypto-config.yaml
æ¥ççæçè¯ä¹¦æ件夹ç»æ:
éè¦ä»fabricçæºç æ¡ä¾ä¸æ·è´configtx.yamlæ件
$ cp $GOPATH/src/github.com/hyperledger/fabric-samples/first-network/configtx.yaml ./
对configtx.yamlæ件è¿è¡ä¿®æ¹.
ä¿®æ¹ä¹å,å建ä¸ä¸ªæ件夹,æ¥ä¿åå³å°å建çåä¸åºåæ件
å°å建åºåæ件åééçå½ä»¤åå°ä¸ä¸ªèæ¬ä¸! generate.sh
èæ¬æ件åé ç½®æ件çç®å½ç»æ:
æ§è¡generate.shæ件çæåä¸åºåæ件åéé,å ¶å®åªæä¸ä¸ªç»ç»,ä¹æ²¡å¿ è¦çæéèç¹æ´æ°æ件..
$ ./generate.sh
é ç½®docker-composeæ件:
å¯å¨å®¹å¨, å¯å¨åæ¥ç容å¨è¿è¡æ åµ
$ docker-compose up -d
$ docker-compose ps
å¨è¿é,å建两个èæ¬æ件,ç¨äºdocker容å¨ç管ç
clear_docker.shæ件:
restart.shæ件:
å建é ç½®æ件çæ¶å,æ两个æ件å¯ä»¥è¿è¡åè...
ä¿®æ¹åçsdké ç½®æ件:
å建åºä¸ä¸ªæ¨¡å对象,ç»å ¶èµå¼,并å¼å§åå§åsdk
ä½¿ç¨ pkg/fabsdk/fabsdk.goä¸çNew()æ¹æ³è¿è¡å®ä¾å
å建请æ±ä¹å,éè¦ä½¿ç¨ gopackager.NewCCPackage æ¹æ³çæä¸ä¸ªresource.CCPackage 对象,ä¼ é两个åæ°,ä¸ä¸ªæ¯é¾ç çè·¯å¾(ç¸å¯¹äºå·¥ç¨çè·¯å¾), ä¸ä¸ªæ¯GOPATHçè·¯å¾.
å®è£ é¾ç ,使ç¨pkg/client/resmgmt/resmgmt.goæ件ä¸çæ¹æ³
å建请æ±ä¹å,éè¦çæä¸ä¸ª*cb.SignaturePolicyEnvelopeç±»åç对象,ä½¿ç¨ third_party/github.com/hyperledger/fabric/common/cauthdsl/cauthdsl_builder.goæ件ä¸çæ¹æ³å³å¯,æä¾äºå¥½å 个æ¹æ³, 使ç¨ä»»æä¸ä¸ªå³å¯.è¿éä½¿ç¨ SignedByAnyMemberæ¹æ³: éè¦ä¼ å ¥æå±ç»ç»ID
å®ä¾åé¾ç
ä½¿ç¨ pkg/client/channel/chclient.goä¸ç Execute()æ¹æ³,æ¥è¿è¡æ°æ®åå ¥çæä½:
rsp, err := model.Channelclient.Execute(req)
åå ¥ä¹å,è¦å建请æ±:
tempArgsæ¯è¦ä¼ ç»é¾ç çåæ°,å¯ä»¥åä¸å°è£ ,å°±ä¸ååæ°ä¸ªæ°çéå¶äº
ä½¿ç¨ pkg/client/channel/chclient.goä¸ç Query()æ¹æ³,æ¥è¿è¡æ°æ®æ¥è¯¢çæä½: æ¥è¯¢ä¹å,åæ ·éè¦å建请æ±.
é¾ç å¨å·¥ç¨ä¸çè·¯å¾åºè¯¥æ¯ å·¥ç¨å/chaincodeæ件夹
æ¯å¦:
driverFabricDemo/chaincode
èä¸åºè¯¥çç¥æå·¥ç¨åè¿æ ·å: chaincode
é误åå :cert.URIs å tpl.URIs è¿ä¸¤ä¸ªå段没æ被å®ä¹.
è¿å ¥tpl对象ä¸, /usr/local/go/src/crypto/x/x.go æ¯ä¸ªç»æä½,并没æåç° URIs å段
对goçæ¬è¿è¡å级,ä»1.9.3å级å°1..3, å次è¿å ¥ /usr/local/go/src/crypto/x/x.go æ件ä¸,æ¥çç»æä½å 容:
å¨æ§è¡sdkçExcute()æ¹æ³æ¶æ¥é.
æ¹æ³ä¸åå¨,ä¸è¬æ¯ç±äºé¾ç çInvokeæ¹æ³ä¸çæ¹æ³ååExcute()æ¹æ³ä¼ å ¥çæ¹æ³åä¸ä¸æ ·.
ä½æ¯å¯ä»¥è¯å®çæ¯,é¾ç çInvokeæ¹æ³ä¸çæ¹æ³åå,项ç®ä¸æ§è¡Excute()æ¹æ³æ¶ä¼ å ¥çæ¹æ³åæ¯å®å ¨ä¸æ ·ç! ä½æ¯å¾å¥æªäº,为ä»ä¹ä¼åºç°è¿ä¸ªé误å¢? ä½¿ç¨ docker rmi å é¤æ dev-peerx.travle.xq.com çéå,åéæ°è¿è¡å³å¯.
å¨å建å®ä¾åé¾ç 请æ±çæ¶å
æ»æ¯æ示
Cannot use str (type *cb.SignaturePolicyEnvelope) as type *common.SignaturePolicyEnvelope less... (⌘F1) Inspection info: Reports composite literals with incompatible types and values
æææ¯ç¸åçç±»å,å´æ»æ¯æ¥é,åºè¯¥æ¯IDEçé®é¢.ævendoræ件夹å é¤å,å°±ä¸ä¼ææ示äº. å使ç¨vendor对工ç¨è¿è¡init å add +external 就好äº!!
åºç°è¿ä¸ªé误,ä¸è¬é½æ¯é ç½®æ件åªä¸ªå°æ¹åéäº,éè¦ç»å¿æ£æ¥
找tpl是什么意思?
TPL是Template缩写的意思,即中文中的源码模板。在计算机领域,源码TPL常常指代一种文件格式,源码通常用于存储独立而可重用的源码模板文件,用于快速地生成文档、源码织梦仿手赚网源码网页等内容。源码TPL文件通常使用模板引擎进行渲染,源码把指定的源码数据填入模板中并生成最终的文档或页面。
另外,源码TPL也是源码一种文件扩展名,代表一种程序源码文件,源码用于存储模板引擎的源码会务平台源码模板文件。TPL文件通常用各种编程语言编写,源码如php、源码asp、jsp等。使用TPL文件,程序员们可以更加易于维护和设计他们的网页、应用,同时也使得开发更加高效。
TPL文件广泛应用于网络开发领域,如网站、应用程序、移动应用等。源码授权工具由于其灵活性和使用的方便性,很多开发人员倾向于将常见的数据放在模板文件中,以便在需要时进行重新使用和更新。在日常生活中,TPL文件也被广泛应用于各种电子文档模板中,如合同、维修报告等。
Discuz!ML 3.x任意代码执行漏洞之大佬分析之后我分析
首先附上米斯特安全大佬们文章的链接,刚开始有些东西我没看的太懂,于是我就再添了点东西,希望像我一样的小白也能看懂。
一、朗读软件源码漏洞综述
漏洞类型:代码执行漏洞
影响系统及版本:Discuz!ML V3.2-3.4
漏洞原因:Discuz!ML 系统对cookie中的l接收的language参数内容未过滤,导致字符串拼接,从而执行php代码。
二、漏洞分析
根据米斯特大佬们提供的报错界面,我对其中的三个报错点一一进行了分析,三个报错点如下图所示(还有米斯特大佬们的水印)。
2.1 报错点一分析
发现首先是portal.php函数出错,把这张图放大看,发现是对cookie中的language参数进行拼接而导致的报错,根据这个参数的语义判断应该是调用语言模板的时候因为找不到相应的模板而发生的错误,那么先定位portal.php报错的彩虹传世源码第行,该文件路径:
紧接着定位libfile函数,文件加载路径函数。
函数介绍:
libfile($libname, $folder = ”),包含2个参数:$libname 和 $folder,该函数读取source目录下的$folder子目录作为基础部分。
libfile函数源代码如下图所示:
DISCUZ_ROOT为定义网站根目录的常量,realpath函数为返回绝对路径函数,到此处第一个报错就已经分析完毕,原因是系统因为找不到一个php文件而报的错。
2.2 报错点二分析
还是先根据错误定位到引用函数文件,文件路径source/module/portal/portal_index.php,然后定位到源函数所在的文件,引用的地方好定位,位置在/source/function/function_core.php,直接上图
然后这个函数写的还贼长,哎,没得办法,这个时候只能靠运气了,搏一搏,单车变摩托,首先百度,这个函数的作用也就是个调用模板的函数。
然而这个函数写了行代码,找个大表哥的写的代码注释吧,先扔个参考链接 discuz.net/thread-...
此时我发现了思路有些繁琐,然后就去找第三个错误的提示内容,为了找到是哪里出了问题,我把这段代码放到了txt文件中,根据第三个错误提示的信息开始了全文搜索,终于,根据关键字tpl.php值搜索到一处与language这个函数语义有关的东西DISCUZ_LANG。
既然是语言参数出了问题,还是个常量,那就去找找常量定义的地方,全局搜DISCUZ_LANG,跟踪到/source/class/discuz/discuz_application.php
可以看到,将$lng的值给了DISCUZ_LANG,追踪$lng在何处定义,全局搜索$lng,找到了定义$lng的地方(图中第一个箭头)
到此为止,又出现个var,这是个啥,我只知道var[‘cookie’][‘language’]的意思就是cookie中的language的值。
以上可以分析出,从获取language到DISCUZ_LANG拿到值的过程中,并没有对其进行过滤。
那么现在必须确定报错问题是怎么出现的了,看下图:
出现了这样的代码,直接拼接,然后RCE
拼接单引号和'.phpinfo().'
按理来说可以RCE
总结下大概流程从cookie中获取了language的值,然后给了$lng,接着$lng又给了DISCUZ_LANG,系统通过template函数调用模板文件,template函数执行,执行到$cachefile的时候,执行构造的代码。
三、漏洞复现
访问站点www.***.com/forum.php,刷新页面抓包
*本文作者:xxx,转载请注明来自 FreeBuf.COM在language参数处'.phpinfo().'
返回内容:
复现成功。
看起来复现大佬们的漏洞还是挺有意思的,开心。