MyBB <= 1.8.20: 从存储型XSS到RCE漏洞分析与利用教学<\/h1>

漏洞概述<\/h2>

本教学文档详细分析MyBB论坛软件1.8.20及之前版本中存在的两个关键安全漏洞：<\/p>

存储型XSS漏洞<\/strong>：通过精心构造的[video] bbcode实现跨站脚本攻击<\/li>

RCE漏洞<\/strong>：通过管理员面板中的样式表文件创建功能实现远程代码执行<\/li> <\/ol>
这两个漏洞可形成攻击链，攻击者仅需一个普通论坛账号，通过向管理员发送恶意私信，当管理员查看私信时即可完全接管服务器。<\/p>
受影响版本<\/h2>
MyBB 1.8.20及之前所有版本<\/p>
漏洞技术分析<\/h2>
第一部分：存储型XSS漏洞<\/h3>
MyBB渲染流程<\/h4>
MyBB解析和渲染主题、帖子、私信分为三个步骤：<\/p>

转义处理<\/strong>：转义所有HTML标记和双引号<\/li>
视频bbcode处理<\/strong>：将[video] mycodes转换为嵌入视频的<iframe><\/code>标签<\/li>
其他bbcode处理<\/strong>：将所有其他mycode(如[url]、[quote]、[email])转换为HTML标记<\/li> <\/ol> 漏洞成因<\/h4> 问题出在[video] bbcode与其他bbcode的不同处理方式上：<\/p> [video] bbcode在第一步就被转换为<iframe><\/code>标签<\/li> 转换过程中会调用urlcode()<\/code>方法处理视频URL<\/li> urlcode()<\/code>方法允许通过URL编码绕过正则保护，注入其他bbcode<\/li> <\/ol> 攻击向量构造<\/h4> 攻击者可构造如下恶意[video] bbcode：<\/p> [video]youtube.com\/xyz[url]http:\/\/onload=evilCode()[\/url][\/video] <\/code><\/pre> 经过MyBB处理后，会生成以下恶意HTML：<\/p> <iframe<\/span> src<\/span>=<\/span>"youtube.com\/xyz<a href="<\/span>http:<\/span>\/\/<\/span>onload<\/span>=<\/span>evilCode(iframe<\/span>>"> <\/span><\/span><\/code><\/pre>这导致：<\/p> iframe的src属性被注入的href属性和其引号关闭<\/li> onload事件处理程序被注入到<iframe><\/code>标签中<\/li> 当iframe加载时自动执行恶意JavaScript代码<\/li> <\/ul> 关键代码分析<\/h4> 漏洞关键在于urlcode()<\/code>方法的调用，它允许绕过正则保护并通过URL编码注入[url] bbcode。<\/p> 第二部分：RCE漏洞<\/h3> 管理员面板漏洞<\/h4> MyBB管理员可以在管理面板中：<\/p> 管理活动主题的样式表<\/li> 创建新的样式表文件并指定文件名<\/li> <\/ol> 文件扩展名限制<\/h4> 代码中对文件扩展名有限制，只允许.css扩展名：<\/p> \/\/ 伪代码 <\/span><\/span><\/span><\/span>if<\/span> (!<\/span>endsWith<\/span>($filename, '.css'<\/span>)) { <\/span><\/span> die<\/span>("Invalid file extension"<\/span>); <\/span><\/span>} <\/span><\/span><\/code><\/pre>数据库截断漏洞<\/h4> 关键点：<\/p> 样式表文件名存储在MySQL的mybb_themestylesheets<\/code>表中<\/li> name<\/code>列定义为varchar(30)<\/li> 通过XML导入时未检查文件名长度<\/li> MySQL默认会将超长字符串截断为30字符<\/li> <\/ol> 攻击方法<\/h4> 攻击者可构造如下文件名：<\/p> aaaaaaaaaaaaaaaaaaaaa.php.css <\/code><\/pre> (共34个字符)<\/p> 处理过程：<\/p> 通过.css扩展名检查<\/li> 插入数据库时被截断为30字符：aaaaaaaaaaaaaaaaaaaaa.php<\/code><\/li> 最终在文件系统中创建.php文件而非.css文件<\/li> <\/ol> 漏洞利用链<\/h3> 完整攻击流程：<\/p> 攻击者注册普通论坛账号<\/li> 构造包含恶意[video] bbcode的私信发送给管理员恶意JS代码利用管理员权限创建恶意样式表文件<\/li> <\/ul> <\/li> 管理员查看私信时触发XSS<\/li> XSS利用管理员会话创建PHP webshell<\/li> 攻击者访问webshell获得服务器控制权<\/li> <\/ol> 漏洞修复方案<\/h2> MyBB在1.8.21版本中修复了这些漏洞，主要修复措施包括：<\/p> 改进bbcode解析逻辑，防止bbcode嵌套注入<\/li> 加强文件名验证，防止截断攻击<\/li> 增加导入时的长度检查<\/li> <\/ol> 防御建议<\/h2> 立即升级到MyBB 1.8.21或更高版本<\/li> 限制普通用户使用[video] bbcode的权限<\/li> 实施内容安全策略(CSP)缓解XSS影响<\/li> 管理员应使用独立浏览器或会话管理前后台<\/li> <\/ol> 时间线<\/h2> 2019\/04\/29：漏洞报告给MyBB团队<\/li> 2019\/04\/29：MyBB确认漏洞<\/li> 2019\/06\/10：MyBB发布修复版本1.8.21<\/li> <\/ul> 参考资源<\/h2> 利用视频演示: https:\/\/blog.ripstech.com\/videos\/mybb-stored-xss-to-rce.mp4<\/a><\/li> MyBB官方网站: https:\/\/mybb.com\/<\/a><\/li> <\/ul>

MyBB <= 1.8.20: 从存储型XSS到RCE漏洞分析与利用教学<\/h1>

受影响版本<\/h2> MyBB 1.8.20及之前所有版本<\/p>

漏洞技术分析<\/h2>

第一部分：存储型XSS漏洞<\/h3>

关键代码分析<\/h4> 漏洞关键在于urlcode()<\/code>方法的调用，它允许绕过正则保护并通过URL编码注入[url] bbcode。<\/p>

参考资源<\/h2> 利用视频演示: https:\/\/blog.ripstech.com\/videos\/mybb-stored-xss-to-rce.mp4<\/a><\/li> MyBB官方网站: https:\/\/mybb.com\/<\/a><\/li> <\/ul>

受影响版本<\/h2>
MyBB 1.8.20及之前所有版本<\/p>

关键代码分析<\/h4>
漏洞关键在于`urlcode()<\/code>方法的调用，它允许绕过正则保护并通过URL编码注入[url] bbcode。<\/p>`

参考资源<\/h2>

利用视频演示: https:\/\/blog.ripstech.com\/videos\/mybb-stored-xss-to-rce.mp4<\/a><\/li>
MyBB官方网站: https:\/\/mybb.com\/<\/a><\/li> <\/ul>