寶塔是近幾年剛崛起的一款伺服器面闆,深受各大站長的喜歡,windows2003 windows2008windosws 2012系統,linux centos deepin debian fedora系統都可以使用寶塔的面闆來管理伺服器,寶塔可以一鍵部署網站的環境,IIS環境搭建,Nginx環境,PHP環境搭建,apache jsp環境,mysql資料庫,oracle資料庫搭建,以及一鍵設定FTP賬戶密碼,檔案面闆線上管理都可以很簡單的利用寶塔搭建起來。
2018年10月11日寶塔Linux更新到6.0版本,很多新功能加入到linux寶塔面闆中,面闆的功能再多,還是會存在着一些漏洞,這也是無法避免的,在實際的安全檢測當中發現linux 6.0面闆存在着漏洞,相當于早些5.0以上版本,存在着寶塔XSS存儲性漏洞。
問題發生在寶塔的控制台系統安全這裡,預設使用者登入失敗會記錄到寶塔的系統安全裡,我們看看下代碼:
漏洞的産生就是在這個代碼裡,通過代碼可以看出代碼首先判斷是否是正确的使用者名密碼,再來判斷驗證碼,判斷登入失敗的IP是否還有其他登入失敗的日志記錄,如果這個值大于1就日志記錄一下,寶塔的系統安全會自動将大于1的使用者名以及密碼都進行了日志記錄,從寶塔的資料庫中去讀取目前寶塔管理者的賬戶密碼,來進行互相對比,如果沒有對比成功,就會傳回一個錯誤的值。最關鍵的一個代碼就是當post登入寶塔面闆的時候就會将code寫入到專門寫系統安全日志的一個函數裡面去,通過對其函數的追逐發現,這個函數就是寫日志的功能,定義teyp然後再定義args,從code值傳遞過來就寫進了寶塔的系統安全日志當中去。 在這個code值中可以插入惡意的參數,寫進系統安全的日志中,XSS存儲漏洞就在這産生了,可以構造xss擷取管理者的賬戶密碼以及cookies值,當伺服器的管理者點選背景的系統安全,就會使寶塔漏洞觸發。
我們來測試一下這個寶塔漏洞,首先輸入寶塔的位址,預設都是伺服器IP,888端口,然後輸入賬戶密碼,随意輸入,當輸入錯誤的時候,再次登入就是輸入驗證碼。在驗證碼這裡可以寫XSS攻擊代碼,alert('網站安全測試')
當管理者登入背景,點選安全,就會彈出安全測試的提示框。構造精心準備的xss代碼就可以擷取到目前登入的管理者cookies值,複制這個值直接進背景操作即可。
目前寶塔linux面闆漏洞,官方已經緊急修複,很多使用寶塔面闆的伺服器還沒有修複更新打更新檔,希望伺服器的管理人員盡快的更新寶塔到最新版本。