Discuz! 6.1 - 安装SupeSite后导致安全漏洞

最新推荐文章于 2022-10-08 19:37:11 发布
最新推荐文章于 2022-10-08 19:37:11 发布
阅读量3k 收藏
点赞数
分类专栏: Discuz! 文章标签: null thread 数据库 sql join access
本文为博主(@胡争辉)原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/hu_zhenghui/article/details/3030217
版权
 

Discuz! 6.1 - 安装SupeSite后导致安全漏洞

原因——SupeSite 6.0 X-Space 4.0 UC部分

Discuz! 6.1在安装SupeSite 6.0 X-Space 4.0 UC版之后,会在Discuz! 6.1的forums表中增加两个字段
--- cdb_forums.discuz.sql
+++ cdb_forums.supesite.sql
@@ -30,15 +30,17 @@
   `modnewposts` tinyint(1) NOT NULL default '0',
   `jammer` tinyint(1) NOT NULL default '0',
   `disablewatermark` tinyint(1) NOT NULL default '0',
   `inheritedmod` tinyint(1) NOT NULL default '0',
   `autoclose` smallint(6) NOT NULL default '0',
   `forumcolumns` tinyint(3) unsigned NOT NULL default '0',
   `threadcaches` tinyint(1) NOT NULL default '0',
   `alloweditpost` tinyint(1) unsigned NOT NULL default '1',
   `simple` tinyint(1) unsigned NOT NULL,
   `modworks` tinyint(1) unsigned NOT NULL,
   `allowtag` tinyint(1) NOT NULL default '1',
+  `updateline` int(10) NOT NULL default '0',
+  `allowpost` tinyint(1) NOT NULL default '0',
   PRIMARY KEY  (`fid`),
   KEY `forum` (`status`,`type`,`displayorder`),
   KEY `fup` (`fup`)
 ) ENGINE=MyISAM  DEFAULT CHARSET=utf8 AUTO_INCREMENT=3 ;
其中allowpost字段用于SupeSite 6.0 X-Space 4.0 UC的网站管理平台中“论坛相关设置”菜单的“论坛版块”菜单项的“是否允许导入”列。当选中“是否允许导入”复选框时,allowpost字段的值为 1,当取消“是否允许导入”复选框时,allowpost字段的值为0。

原因——Discuz! 6.1部分

Discuz! 6.1对于用户能否在版面发表主题主要涉及三个设置:
  1. 用户所在用户组是否允许发表主题
  2. 用户在该版面是否拥有发表主题特殊权限
  3. 版面是否允许用户所在的用户组发表主题
这三个设置的判断顺序如下:
  • 用户所在的用户组不允许发表主题——不能发表主题
  • 用户所在的用户组允许发表主题
    • 用户在该版面拥有允许发表主题的特殊权限——能发表主题
    • 用户在该版面拥有禁止发表主题的特殊权限——不能发表主题
    • 用户在该版面拥有发表主题的特殊权限
      • 版面允许用户所在的用户组发表主题——能发表主题
      • 版面不允许用户所在的用户组发表主题——不能发表主题
这三个设置在数据库中的来源如下:
  1. 用户所在用户组是否允许发表主题
    • 数据库usergroups表的allowpost字段,值为1时代表允许发表主题,值为0时代表不允许发表主题。
  3. 用户在该版面是否拥有发表主题特殊权限
    • 数据库members表的accessmasks字段,值为0时代表该用户在所有版面都不拥有发表主题特殊权限,值为1时代表该用户在某个版面拥有发表主题特殊权限。
    • 数据库access表的allowpost字段,值为0时代表不拥有发表主题的特殊权限,值为1时代表拥有允许发表主题的特殊权发,值为-1时代表拥有不允许发表主题的特殊权限。
  5. 版面是否允许用户所在的用户组发表主题
    • 数据库forumfields表的postperm字段,值以"/t"为分隔符号连接允许用户发表主题的用户组的ID。
这三个设置在程序中的来源如下:
  1. 用户所在用户组是否允许发表主题
    • 在/forumdata/cache/usergroup_[usergroup id].php缓存文件中的$allowpost变量。其中[usergroup id]代表用户所在用户组的编号,值为'1'时代表允许发表主题,值为'0'时代表不允许发表主题。
  3. 用户在该版面是否拥有发表主题特殊权限
    • 在common.inc.php文件的131行~179行,赋值给$accessmasks变量,值为'0'时代表该用户在所有版面都不拥有发表主题特殊权限,值为'1'时代表该用户在某个版面拥有发表主题特殊权限。
    • 在common.inc.php文件的201行~204行,依据$accessmasks变量SQL语句相关段落赋值给$accessadd1和$accessadd2变量。
    • 在common.inc.php文件的271行~283行,使用$accessadd1和$accessadd2变量生成SQL语句查询出$forum数 组,其中$forum['allowpost']代表用户在该版面是否拥有发表主题特殊权限,值为NULL时代表用户在该版面不拥有任何特殊权限,也就不 拥有发表主题的特殊权限,值为0时代表不拥有发表主题的特殊权限,值为1时代表拥有允许发表主题的特殊权发,值为-1时代表拥有不允许发表主题的特殊权 限。
  5. 版面是否允许用户所在的用户组发表主题
    • 在viewthread.php文件的206行,当用户在该版面不拥有发表主题的特殊权限时,使用forumperm($forum['postperm']))分解允许用户发表主题的用户组的ID,然后在用户的用户组ID以及扩展组ID列表中查找是否包含。

结果——互相作用导致的漏洞

SupeSite 6.0 X-Space 4.0 UC在forums表中增加的allowpost字段与access表中的allowpost字段在查询时同时影响查询结果的$forum['allowpost']变量,情况如下:
  • 用户在该版面拥有特殊权限,但是用户在该版面不拥有发表主题的特殊权限,$forum['allowpost']不变为'0',不受影响
  • 用户在该版面拥有特殊权限,但是用户在该版面拥有允许发表主题的特殊权限,$forum['allowpost']不变为'1',不受影响
  • 用户在该版面拥有特殊权限,但是用户在该版面拥有禁止发表主题的特殊权限,$forum['allowpost']不变为'-1',不受影响
  • 用户在该版面不拥有任何特殊权限
    • forums表中allowpost字段的值为0,$forum['allowpost']从NULL变为'0'
      • /include/newthread.inc.php第31行,empty($forum['allowpost']),值不变为true,不受影响
      • /include/newthread.inc.php第37行,$forum['allowpost'] == -1,值不变为false,不受影响
      • /include/newtrade.inc.php第30行,empty($forum['allowpost']),值不变为true,不受影响
      • /include/newtrade.inc.php第36行,$forum['allowpost'] == -1,值不变为false,不受影响
      • /wap/include/post.inc.php第50行,empty($forum['allowpost']),值不变为true,不受影响
      • /forumdisplay.php第421行,$forum['allowpost'] == 1,值不变为false,不受影响
      • /forumdisplay.php第423行,$forum['allowpost'] != -1,值不变为true,不受影响
      • /post.php第276行,$forum['allowpost'] == -1,值不变为false,不受影响
      • /post.php第282行,$forum['allowpost'] == -1,值不变为false,不受影响
      • /post.php第285行,$forum['allowpost'] == -1,值不变为false,不受影响
      • /viewthread.php第206行第1处,$forum['allowpost'] != -1,值不变为true,不受影响
      • /viewthread.php第206行第2处,|| $forum['allowpost'],值不变为false,不受影响
    • forums表中allowpost字段的值为1,$forum['allowpost']从NULL变为'1'
      • /include/newthread.inc.php第31行,empty($forum['allowpost']),值从true变为false,受影响
      • /include/newthread.inc.php第37行,$forum['allowpost'] == -1,值不变为false,不受影响
      • /include/newtrade.inc.php第30行,empty($forum['allowpost']),值从true变为false,受影响
      • /include/newtrade.inc.php第36行,$forum['allowpost'] == -1,值不变为false,不受影响
      • /wap/include/post.inc.php第50行,empty($forum['allowpost']),值从true变为false,受影响
      • /forumdisplay.php第421行,$forum['allowpost'] == 1,值从false变为true,受影响
      • /forumdisplay.php第423行,$forum['allowpost'] != -1,值不变为true,不受影响
      • /post.php第276行,$forum['allowpost'] == -1,值不变为false,不受影响
      • /post.php第282行,$forum['allowpost'] == -1,值不变为false,不受影响
      • /post.php第285行,$forum['allowpost'] == -1,值不变为false,不受影响
      • /viewthread.php第206行第1处,$forum['allowpost'] != -1,值不变为true,不受影响
      • /viewthread.php第206行第2处,|| $forum['allowpost'],值从false变为true,受影响
受影响处会导致的安全漏洞如下:
  • /include/newthread.inc.php第31行,当用户所在的用户组允许发表主题,用户在该版面拥有发表主题的特殊权限,版面不允许用户所在的用户组发表主题时,应该不能发表主题。但是forums表中allowpost字段的值为1时,此处程序认为用户在该版面拥有允许发表主题的特殊权限,因此能发表主题
  • /include/newtrade.inc.php第30行,当用户所在的用户组允许发表主题,用户在该版面拥有发表主题的特殊权限,版面不允许用户所在的用户组发表主题时,应该不能发表主题。但是forums表中allowpost字段的值为1时,此处程序认为用户在该版面拥有允许发表主题的特殊权限,因此能发表主题
  • /wap/include/post.inc.php第50行,当用户所在的用户组允许发表主题,用户在该版面拥有发表主题的特殊权限,版面不允许用户所在的用户组发表主题时,应该不能发表主题。但是forums表中allowpost字段的值为1时,此处程序认为用户在该版面拥有允许发表主题的特殊权限,因此能发表主题
  • /forumdisplay.php第421行,当用户所在的用户组允许发表主题,用户在该版面拥有发表主题的特殊权限,版面不允许用户所在的用户组发表主题时,应该不能发表主题,所以不显示“新贴”以及特殊主题链接。但是forums表中allowpost字段的值为1时,此处程序认为用户在该版面拥有允许发表主题的特殊权限,因此能发表主题,所以显示“新贴”以及特殊主题链接。
  • /viewthread.php第206行第2处,当用户所在的用户组允许发表主题,用户在该版面拥有发表主题的特殊权限,版面不允许用户所在的用户组发表主题时,应该不能发表主题,所以不显示“新贴”以及特殊主题链接。但是forums表中allowpost字段的值为1时,此处程序认为用户在该版面拥有允许发表主题的特殊权限,因此能发表主题,所以显示“新贴”以及特殊主题链接。

补丁

由于该问题涉及Discuz!的全局包含文件/include/common.inc.php,为解决该缺陷,同时不影响其他功能,可以通过如下补丁解决。
--- common.inc.discuz.php
+++ common.inc.supesite.php
@@ -261,28 +261,28 @@
 }
 
 $auditstatuson = !empty($mod) && $mod == 'edit' && in_array($adminid, array(1, 2, 3)) && $allowmodpost ? true : false;
 
 $page = isset($page) ? max(1, intval($page)) : 1;
 $tid = isset($tid) && is_numeric($tid) ? $tid : 0;
 $fid = isset($fid) && is_numeric($fid) ? $fid : 0;
 $typeid = isset($typeid) ? intval($typeid) : 0;
 
 if(!empty($tid) || !empty($fid)) {
        if(empty($tid)) {
-               $forum = $db->fetch_first("SELECT f.fid, f.*, ff.* $accessadd1 $modadd1, f.fid AS fid
+               $forum = $db->fetch_first("SELECT f.fid, f.fup, f.type, f.name, f.status, f.displayorder, f.styleid, f.threads, f.posts, f.todayposts, f.lastpost, f.allowsmilies, f.allowhtml, f.allowbbcode, f.allowimgcode, f.allowmediacode, f.allowanonymous, f.allowshare, f.allowpostspecial, f.allowspecialonly, f.alloweditrules, f.recyclebin, f.modnewposts, f.jammer, f.disablewatermark, f.inheritedmod, f.autoclose, f.forumcolumns, f.threadcaches, f.alloweditpost, f.simple, f.modworks, f.allowtag, ff.* $accessadd1 $modadd1, f.fid AS fid
                        FROM {$tablepre}forums f
                        LEFT JOIN {$tablepre}forumfields ff ON ff.fid=f.fid $accessadd2 $modadd2
                        WHERE f.fid='$fid'");
        } else {
-               $forum = $db->fetch_first("SELECT t.tid, t.closed,".(defined('SQL_ADD_THREAD') ? SQL_ADD_THREAD : '')." f.*, ff.* $accessadd1 $modadd1, f.fid AS fid
+               $forum = $db->fetch_first("SELECT t.tid, t.closed,".(defined('SQL_ADD_THREAD') ? SQL_ADD_THREAD : '')." f.fid, f.fup, f.type, f.name, f.status, f.displayorder, f.styleid, f.threads, f.posts, f.todayposts, f.lastpost, f.allowsmilies, f.allowhtml, f.allowbbcode, f.allowimgcode, f.allowmediacode, f.allowanonymous, f.allowshare, f.allowpostspecial, f.allowspecialonly, f.alloweditrules, f.recyclebin, f.modnewposts, f.jammer, f.disablewatermark, f.inheritedmod, f.autoclose, f.forumcolumns, f.threadcaches, f.alloweditpost, f.simple, f.modworks, f.allowtag, ff.* $accessadd1 $modadd1, f.fid AS fid
                        FROM {$tablepre}threads t
                        INNER JOIN {$tablepre}forums f ON f.fid=t.fid
                        LEFT JOIN {$tablepre}forumfields ff ON ff.fid=f.fid $accessadd2 $modadd2
                        WHERE t.tid='$tid'".($auditstatuson ? '' : " AND t.displayorder>='0'")." LIMIT 1");
                $tid = $forum['tid'];
        }
 
        if($forum) {
                $fid = $forum['fid'];
                $forum['ismoderator'] = !empty($forum['ismoderator']) || $adminid == 1 || $adminid == 2 ? 1 : 0;
                foreach(array('postcredits', 'replycredits', 'threadtypes', 'digestcredits', 'postattachcredits', 'getattachcredits') as $key) {

后记

开源有助于程序接受更广泛的代码复审,及时发现安全隐患并改进,本bug源于SupeSite 6.0 X-Space 4.0 UC,由于SupeSite 6.0 X-Space 4.0 UC是闭源软件,因此补丁从Discuz! 6.1入手,并非治本之策。

[Discuz! - 官方网站]

http://www.discuz.net/

[Discuz! - 常见问题]

Discuz! 6.1 从GBK编码转为UTF-8编码
Discuz! 6.1 多语言翻译工作范围
Discuz! 6.1 兼容问题

Discuz! 6.1 发送HTML格式电子邮件

Discuz! 6.1 安装SupeSite后导致安全漏洞


胡争辉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Discuz - 6 1 7 0 - 安装SupeSite导致安全漏洞
yffkjhg的博客
11-11 623
Discuz - 6 1 7 0 - 安装SupeSite导致安全漏洞
discuz!6.1GBK 版本论坛系统
02-27
与其他软件安装在同一个数据库中,或采用不同的前缀名从而在同一个数据库安装多个 Discuz! 论坛而不产生冲突。 您的 MySQL 数据库账号应当拥有 CREATE、DROP、ALTER等执行权限,同时文件空间需不低于 2M,数据库...
dz6.0的一个sql注入漏洞
dixiaochang9350的博客
07-08 315
今天开始着手分析第一个漏洞,找了一上午靶机,发现一个含有成人内容的违法网站是用dz6.0搭的,今天就看看dz这个版本的洞了 问题函数位置:my.php第623行 if(is_array($descriptionnew)) {//动态初始化$descriptionnew foreach($descriptionnew as $buddyid => $...
Discuz! 6.0.0 0Day漏洞
weixin_33936401的博客
11-26 918
来源:坏狼安全网// 允许程序在 register_globals = off 的环境下工作$onoff = (function_exists('ini_get')) ? ini_get('register_globals') : get_cfg_var('register_globals');if ($onoff != 1) {@extract($_POST, EXTR_S...
Discuz6.0 injection 0day
weixin_30950237的博客
08-12 75
// 允许程序在 register_globals = off 的环境下工作$onoff = (function_exists('ini_get')) ? ini_get('register_globals') : get_cfg_var('register_globals');if ($onoff != 1) {@extract($_POST, EXTR_SKIP);@extract($_G...
discuz漏洞汇总
热门推荐
hacker0ne的博客
05-05 5万+
Discuz漏洞拿服务器 路径泄露 ‘api/addons/zendcheck.php’, ‘api/addons/zendcheck52.php’, ‘api/addons/zendcheck53.php’, ‘source/plugin/mobile/api/1/index.php’, ...
Discuz! X1 繁体中文 UTF-8.zip
07-09
上传到服务器相应目录,访问 你的域名/install/ 按照提示进行安装安装完成后会自动跳转网站首页。 Discuz! X1 全新安装图文教程 详见:http://www.veryhuo.com/a/view/17085.html 升级方法 1、Discuz!X ...
discuz-ucenter-api-for-java
01-22
基于 UCenter,可以将 Comsenz 旗下的 Discuz!(社区论坛系统)、SupeSite(门户CMS系统)、X-Space(博客系统)从用户资源层面进行无缝整合,使得账号实现统一管理,在任何一个系统中进行注册、登录、注销等操作时...
discuz SupeSite X-Space 数据库说明 数据字典
10-12
discuz SupeSite X-Space 详细的数据库描述 在官方花钱买的!
Discuz! SupeSite MySQL 三方服务器分离部署解决方案
02-23
Discuz! SupeSite MySQL 三方服务器分离部署解决方案
SuperSite数据调用模块+高级SQL语句整理(很完整)
04-29
SuperSite数据调用模块+高级SQL语句整理(很完整),经过多次搜索查找并且在试用SupserSite时,进行了补充和更新~
Discuz漏洞
W_seventeen的博客
08-01 4739
1、漏洞描述 Discuz国际版漏洞存在于cookie的language可控并且没有严格过滤,导致可以远程代码执行。 2、产生原因:Discuz!ML 系统对cookie中的l接收的language参数内容未过滤,导致字符串拼接,从而执行php代码。 3、影响版本: Discuz! ML V3.2 Discuz! ML V3.3 Discuz! ML V3.4 4、利用exp,进行上传一句话木马 1.cookie字段中会出现xxxx_xxxx_language字段,根本原因就是这个字段存在注入,导致的RCE
Discuz X3.2UC漏洞直接拿shell论坛创始人无视验证码爆破
weixin_40966980的博客
01-03 2万+
这里有个验证码的地址,为:http://localhost/uc_server/admin.php?m=seccode&seccodeauth=07d4kVIZ%2Fj5pecd%2Bv7%2FuE0zfvj%2FKRIrF3pmAd%2BupYhm4GT4&1104676922 验证码一直是 cccc 应该是每个ip第一次访问的话都是这个,所以可以用来爆破
2022-10-08(Discuz漏洞、FCKeditor文本编辑器漏洞、ZooKeeper 未授权访问、Memcahe 未授权访问)
最新发布
qq_45751902的博客
10-08 2501
ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。默认安装配置完的zookeeper。不可以上传文件,可点击上传图片按钮,再选择浏览服务器即可跳转到可上传文件页,可查看已经上传的文件(前提是/FCKeditor/editor/fckeditor.html 页面存在)memcache未授权访问漏洞,默认的 11211 端口不需要密码即可访问,攻击者可获取数据库中信息,造成严重的信息泄露。
Discuz! - 6.1 ~ 7.0 - 安装SupeSite导致安全漏洞
胡争辉
12-22 6139
 Discuz! - 6.1 ~ 7.0 - 安装SupeSite导致安全漏洞涉及安全漏洞的版本Discuz! 6.1Discuz! 7.0SupeSite 6.0 X-Space 4.0 UCSupeSite 6.0.1 X-Space 4.0.1 UC原因——SupeSite X-Space UC部分Discuz!在安装SupeSite X-Space UC版之后
Supesite7后台拿shell方法
快乐天使
03-01 261
方法: 编辑模板的时候写入这几行,拆开写一句话,就行了. <!--{eval $content = "@eval(\$_POST[c])";}--> <!--{eval $test1 = "<"."?"."php ".$content."?>";}--> <!--{eval fputs(fopen(S_ROOT
记一次针对SupeSite的中转注入实战
weixin_43873557的博客
02-23 431
近期在一次演练行动中,对某目标进行了一次渗透测试,期间用到了sqlmap的中转注入技术,还是很有收获的,记录下来和大家共同分享,由于是实战,免不了部分地方是要马赛克的,大家见谅。 免责声明:本文中提到的漏洞利用方法和脚本仅供研究学习使用,请遵守《网络安全法》等相关法律法规。 手工注入 打开网页,拉到最底看到是 图片感觉历史有点悠久了,应该是有现成的漏洞了。查阅了一波资料,大佬已经给出了SQL注入的地方,开心的手工注入一波; 先看看有多少字段; http://www.xxxxx.com/batch.commo
Discuz! 6.1 从GBK编码转为UTF-8编码
胡争辉
08-06 4593
源代码的转换创建目标文件夹find forum_en_gbk -type d -exec mkdir -p utf8/{} /;生成脚本,用于将js文件从GBK编码转为UTF-8编码find forum_en_gbk -name *.js -fprintf "js_gbk_to_utf8.sh" "iconv -f GBK -t UTF-8 %p > utf8/%p/n"生成脚本,用于将htm
Discuz! 6.1 language package/语言包 : ug 维吾尔语
胡争辉
10-11 4021
 /templates/default/actions.lang.phpComment已翻译成维吾尔语// Action Pack for Discuz! Version 1.0.0// Created by Crossday$actioncode = array(        0 => مۇنبەرگە قايتىش,        1 => 
Ubuntu Debian(NGINX/PHP/MYSQL)快速配置工具LNMP云安装
03-30
解决nginx 0day漏洞! DebianLNMP特点:1. 独特的DebianLNMP安全增强设置。2. 新软件库基于http://www.dotdeb.org/可保持同步更新。3. Nginx MySQL PHP 全部升级到最新稳定版本。4. 快捷的安装脚本,快速安装开源...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值