HYBBS 2.3.2 安全审计报告与漏洞分析

1. 插件处任意文件写入漏洞导致代码执行

漏洞位置: Code-audit\HYBBS2.3.2\Action\Admin.php

利用步骤:

1. 访问 http://localhost/?admin/code.html
2. 构造恶意请求:

   ?admin/code.html
   name=&gn=add&name=test%27%2Cphpinfo%28%29%2C%27&name2=test&user=test&mess=test
   

3. 漏洞触发流程:
   • 请求进入 Admin.php 的 code 方法
   • 输入内容 test',phpinfo(),' 未经任何过滤直接赋值给 $name
   • 在 /Plugin/ 下创建新文件夹并将输入内容写入 conf.php

影响: 攻击者可在服务器上写入任意PHP代码并执行

修复建议: 对用户输入进行严格过滤，特别是特殊字符和PHP代码片段

2. 任意文件删除漏洞导致重装Getshell

漏洞位置: 重装前需要删除 /Conf/config.php

利用步骤:

1. 通过目录遍历删除配置文件:
   • 使用 ../../ 进行目录跳转
   • 删除 Conf 目录下的文件
2. 触发重装流程:
   • 访问 install 页面
   • 在数据库名处输入恶意代码: hybbs",phpinfo(),"

漏洞原理:

• deldir 函数未过滤 ../ 等目录跳转字符
• 删除配置文件后系统进入可重装状态

修复建议:

• 在文件删除操作中禁止目录跳转
• 重装前增加权限验证

3. 模板处任意文件写入漏洞

漏洞位置: http://localhost/?admin/view.html

利用步骤:

1. 构造恶意请求:

   gn=create_view&name='%2Cphpinfo()%2C'&name2=test22&user=ch3ng&mess=test&code=
   

2. 漏洞触发流程:
   • 进入 Admin.php 的 view 方法
   • name 参数未经检查直接写入 conf.php
   • 使用 file_put_contents 直接写入文件

影响: 攻击者可在模板目录下写入任意PHP代码

4. 模板文件上传漏洞

利用步骤:

1. 准备包含 phpinfo.php 的ZIP文件
2. 通过 http://localhost/?admin/view.html 上传
3. 文件自动解压到 HYBBS2.3.2/View/ 目录

漏洞原理:

• 上传检查未限制文件内容
• ZIP文件自动解压无安全过滤

修复建议:

• 限制上传文件类型
• 解压前检查文件内容

5. 插件上传漏洞

利用步骤:

1. 准备包含恶意PHP文件的ZIP
2. 通过 http://localhost/?admin/code.html 上传
3. 文件自动解压到 Plugin/ 目录

影响: 攻击者可上传任意文件到插件目录

6. 前台XSS漏洞

利用方法:

1. 构造恶意URL:

   http://localhost/Code-audit/HYBBS2.3.2/?s=%3Csvg%20onload=alert(1)%3E
   

   或

   http://localhost/Code-audit/HYBBS2.3.2/?s=%3Csvg%20onload=alert(document.cookie)%3E
   

2. 通过输入不存在的方法触发报错页面执行XSS

影响: 窃取用户cookie等敏感信息

综合修复建议

1. 输入验证:

   • 对所有用户输入进行严格过滤
   • 特别防范SQL注入和PHP代码注入

2. 文件操作安全:

   • 禁止目录跳转操作
   • 文件写入前检查内容

3. 上传安全:

   • 限制上传文件类型
   • 解压前检查压缩包内容

4. XSS防护:

   • 输出编码
   • CSP策略

5. 权限控制:

   • 加强后台操作的身份验证
   • 重装流程增加权限检查

6. 错误处理:

   • 自定义错误页面
   • 避免敏感信息泄露

这些漏洞的组合利用可使攻击者完全控制HYBBS系统，建议用户及时升级到最新安全版本。