【漏洞分析】Discuz X3.3补丁安全分析

最新推荐文章于 2023-05-15 17:41:42 发布
最新推荐文章于 2023-05-15 17:41:42 发布
阅读量2.3k 收藏
点赞数
分类专栏: php 代码审计

1. authkey生成算法的安全性漏洞

Discuz_X3.3_SC_UTF8\upload\install\index.php

 http://p9.qhimg.com/t0149e756271d954aaa.png

authkey的生成方法如下:

1
$authkey  substr (md5( $_SERVER [ 'SERVER_ADDR' ]. $_SERVER [ 'HTTP_USER_AGENT' ]. $dbhost . $dbuser . $dbpw . $dbname . $username . $password . $pconnect . substr ( $timestamp , 0, 6)), 8, 6).random(10);

可以看出authkey主要由两部分组成:

MD5的一部分(前6位) + random生成的10位

跟入random函数

 http://p1.qhimg.com/t018b6e396a02a75670.png

由于字符生成集合是固定的,且没有重复字符,那么函数中每一次生成hash都唯一对应了chars数组中的一个位置,而且是使用同一个seed生成的。

在之后的代码中使用了同样的random函数:

1
$_config [ 'cookie' ][ 'cookiepre' ] = random(4). '_' ;

Cookie的前四个字节是已知的,并且使用了同样的random函数,那么思路很明显:

通过已知的4位,算出random使用的种子,进而得到authkey后10位。那剩下的就需要搞定前6位,根据其生成算法,只好选择爆破的方式,由于数量太大,就一定要选择一个本地爆破的方式(即使用到authkey而且加密后的结果是已知的)。

在调用authcode函数很多的地方都可以进行校验,在这里使用找回密码链接中的id和sign参数:

sign生成的方法如下:

1
2
3
function  dsign( $str $length  = 16){
     return  substr (md5( $str .getglobal( 'config/security/authkey' )), 0, ( $length  ? max(8,  $length ) : 16));
}

爆破authkey 的流程:

1.通过cookie前缀爆破随机数的seed。使用php_mt_seed工具。

2.用seed生成random(10),得到所有可能的authkey后缀。

3.给自己的账号发送一封找回密码邮件,取出找回密码链接。

4.用生成的后缀爆破前6位,范围是0x000000-0xffffff,和找回密码url拼接后做MD5求出sign。

5.将求出的sign和找回密码链接中的sign对比,相等即停止,获取当前的authkey。

2. 后台任意代码执行漏洞

对比X3.4与X3.3版本发现漏洞存在于:

upload\source\admincp\admincp_setting.php

 http://p7.qhimg.com/t015920b0a78c8e7c09.png

2535行左右,在后台对UCenter的密码进行更新的时候,没有对输入的密码进行检查,直接写入到配置文件,导致我们可以闭合前面的单引号从而达到getshell的目的,这里仅做了一个连接测试,如果连接成功则写入配置文件。

http://p2.qhimg.com/t01b4d576fa01a5af98.png

http://p1.qhimg.com/t011f0757f737c684f0.png


0x04 漏洞利用验证

1. authkey生成算法的安全性漏洞

使用一个普通用户登录:

 http://p1.qhimg.com/t01261ef3f364a39d2e.png

获取cookie前4位:uie7

http://p3.qhimg.com/t0166459dc16226ed5a.png

使用上述脚本整理成php_mt_seed的参数格式:

 http://p8.qhimg.com/t012a288f3b4e8c01d2.png

接着再用php_mt_seed生成seed:

 http://p3.qhimg.com/t01d9c4da0cccf4c9c7.png

这里php_mt_seed的参数是:

1
0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 610 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 56 56 0 61 44 44 0 61 40 40 0 61 33 33 0 61

在这里需要注意:

php_mt_seed多参数时是4个数为一组,含义如下图:

 http://p9.qhimg.com/t01c3294dd0120e85a8.png

我们拿到的是第11-14次的随机数,要去估算第1-10次的,所以前面要空10组位置。

得到所有的种子后(约250-300),使用如下脚本处理得到所有可能的random(10):

http://p0.qhimg.com/t011847540e7e5cff21.png

然后重置密码,得到找回链接:

http://p0.qhimg.com/t016ac7b3edb65114b6.png

整理后执行爆破脚本:

 http://p0.qhimg.com/t014127290ddd325b62.png

最后破解出来为: 7e2000vULc0oQETA

对比数据库中数据,可以看出是一致的。

 http://p0.qhimg.com/t011b9dae937c88d3a2.png

2. 后台任意代码执行漏洞

在管理员输入UCenter的密码时,对于用户的输入没有过滤,导致了输入的数据直接写入文件中,利用步骤如下:

1.以管理员身份登录后台

2.设置一个可以远程访问的mysql,密码为:123');phpinfo();//

3.修改UCenter 数据库密码为上述密码

4.更新后即Getshell

http://p2.qhimg.com/t0126b35f53a150c013.png

https://i-blog.csdnimg.cn/blog_migrate/a0326b9ab4e1f54a9ab84ff7b8078bb5.png

https://i-blog.csdnimg.cn/blog_migrate/e5c85120f6e353e18c8567cac8870e8f.png

 

配置文件中的内容也被修改:

 https://i-blog.csdnimg.cn/blog_migrate/55de1a48010bf7a48aff26140a0f39b7.png


0x05 修复建议

Discuz官方已经在2017年8月1日发布最新版,请用户检查自己使用的版本,并及时更新至最新版。


0x06 时间线

2017-08-01  Discuz官方安全更新

2017-08-07  360CERT和0KEE Team完成对新版本的首次分析

2017-08-22  360CERT和0KEE Team完成对后续分析并形成报告


0x07 参考文档

https://git.oschina.net/ComsenzDiscuz/DiscuzX/commit/8446bd9e897bb19672389cc4aed42716ccd0f537

https://git.oschina.net/ComsenzDiscuz/DiscuzX/commit/bb600b8dd67a118f15255d24e6e89bd94a9bca8a

http://www.openwall.com/php_mt_seed/


vspiders
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Discuz X 系列全版本 后台Sql注入漏洞
bulangman277的博客
12-28 3497
Discuz! X 系列全版本 后台Sql注入漏洞
Discuz! 系列<=3.4 后台 sql注入漏洞
weixin_46801402的博客
07-29 4204
Discuz!X全版本存在SQL注入漏洞漏洞产生的原因是source\admincp\admincp_setting.php在处理$settingnew['uc']['appid']参数时未进行完全过滤,导致出现二次注入。在特定条件下,攻击者可以利用该漏洞获取服务器权限。...
【1】漏洞预警 | Discuz ML! V3.X 代码注入漏洞
司徒荆的博客
07-11 855
Discuz ML! V3.X存在代码注入漏洞,攻击者通过精心构建的请求报文可以直接执行恶意的PHP代码,进一步可获取整个网站的服务器权限。
Discuz开源论坛_v3.4系列_远程代码执行漏洞详解
最新发布
weixin_60708754的博客
05-15 4130
Discuz v3.4系列 远程代码执行漏洞全流程详解
discuzX3.2 X3.4网站漏洞修复 SQL注入与请求伪造攻击利用与修复
网站安全专家
12-10 9570
2018年12月9日,国内某安全组织,对discuz X3.2 X3.4版本的漏洞进行了公开,这次漏洞影响范围较大,具体漏洞discuz 的用户前段SQL注入与请求伪造漏洞,也俗称SSRF漏洞漏洞产生的原因首先:php环境的版本大约PHP5.2,dizcuzX3.2 X3.4版本,服务器环境是windows 2008 2003 2012系统,linux centos不受此漏洞的影响。 漏...
Discuz漏洞
W_seventeen的博客
08-01 4835
1、漏洞描述 Discuz国际版漏洞存在于cookie的language可控并且没有严格过滤,导致可以远程代码执行。 2、产生原因:Discuz!ML 系统对cookie中的l接收的language参数内容未过滤,导致字符串拼接,从而执行php代码。 3、影响版本: Discuz! ML V3.2 Discuz! ML V3.3 Discuz! ML V3.4 4、利用exp,进行上传一句话木马 1.cookie字段中会出现xxxx_xxxx_language字段,根本原因就是这个字段存在注入,导致的RCE
Discuz! X3.3 正式版 简体中文 GBK 20170701
12-30
Discuz! X3.3 在继承和完善 Discuz! X3.2 的基础上,针对 PHP7 进行了优化。对于 X3.2 用户来说,X3.3 已继承了 X3.2 的补丁修复工作。安全稳定的程序为提供更加可靠的保障。
Discuz_X3.3_SC_UTF8.zip
07-07
X3.3 SC_UTF8是知名社区论坛软件Discuz! 的一个重要版本,其UTF-8编码确保了对多语言环境的良好支持。这个版本在社区论坛的搭建和管理上提供了诸多改进和优化,使得网站运营更加便捷高效。本文将从核心功能、系统...
Discuz! X3.3 正式版 简体中文 UTF8 20170701
11-29
Discuz! X3.3 在继承和完善 Discuz! X3.2 的基础上,针对 PHP7 进行了优化。对于 X3.2 用户来说,X3.3 已继承了 X3.2 的补丁修复工作。安全稳定的程序为提供更加可靠的保障。
Discuz! X3.3 正式版 简体中文 GBK 20170101
12-03
Discuz! X3.3 在继承和完善 Discuz! X3.2 的基础上,针对 PHP7 进行了优化。对于 X3.2 用户来说,X3.3 已继承了 X3.2 的补丁修复工作。安全稳定的程序为提供更加可靠的保障。
Discuz! X3.4 正式版
10-27
Discuz! X3.4 在继承和完善 Discuz! X3.3 的基础上,去除了云平台的相关代码,其他功能保持不变,如果您的论坛不需要云平台可以选择安装或更新到此版本。
Discuz! X3.3 正式版 简体中文 UTF8 20170301
12-02
Discuz! X3.3 在继承和完善 Discuz! X3.2 的基础上,针对 PHP7 进行了优化。对于 X3.2 用户来说,X3.3 已继承了 X3.2 的补丁修复工作。安全稳定的程序为提供更加可靠的保障。
Discuz! X3.3 正式版 繁体中文 UTF8 20170701
11-29
Discuz! X3.3 在继承和完善 Discuz! X3.2 的基础上,针对 PHP7 进行了优化。对于 X3.2 用户来说,X3.3 已继承了 X3.2 的补丁修复工作。安全稳定的程序为提供更加可靠的保障。
Discuz! X3.3 正式版 简体中文 GBK 20170301
12-02
Discuz! X3.3 在继承和完善 Discuz! X3.2 的基础上,针对 PHP7 进行了优化。对于 X3.2 用户来说,X3.3 已继承了 X3.2 的补丁修复工作。安全稳定的程序为提供更加可靠的保障。
Discuz漏洞复现
小小猪的博客
11-30 5584
Discuz漏洞复现 漏洞描述: Discuz ML! V3.X存在代码注入漏洞,攻击者通过精心构建的请求报文可以直接执行恶意的PHP代码,进一步可获取整个网站的服务器权限。 漏洞影响版本: Discuz!ML v.3.4 、Discuz!ML v.3.2 、Discuz!ML v.3.3 product of codersclub.org (注意:支持多语言切换可能会有这个漏洞!) 环境搭建: 这里用安鸾渗透测试实战平台环境 :地址 这里访问robots.txt,发现下面有很多路径,访问之
Discuz !ML V3.X漏洞复现
Seizerz的博客
07-18 1093
前言:前些天一直在学习新知识,今天抽空做个文档整理,记录下学习情况。 废话不多说,正文开始。 0X01 漏洞介绍 2019年7月11日, Discuz!ML被发现存在一处远程代码执行漏洞,攻击者通过在请求流量的cookie字段中的language参数处插入构造的payload,进行远程代码执行利用,该漏洞利用方式简单,危害性较大。 本次漏洞是由于Discuz! ML对于cookie字段的不...
Discuz全版本任意文件删除漏洞
zsd747289639的博客
09-30 4830
Discuz全版本任意文件删除漏洞验证用的版本:discuz3.2 0x1首先在根目录下新建一个文件 0x2 构造poc1修改出生地区 注意其中的formhash需要替换掉,具体是在源码中找。 为什么这里要替换掉formhash呢? 一开始不太清楚,网页会报错,如下看到了有一个xss验证蛮去找一下这个文件private function _xss_check() { stat
DZ拿shell总结
weixin_30600503的博客
01-23 774
今天碰到一个dz的站,好久没拿了 ,拿下shell觉得应该总结一下 Uc_server默认密码 其实有了UC_SERVER就是有了网站的全部权限了,有了UC_SERVER你可以重置管理员密码 可以进后台拿shell,当然你也可以不进后台拿,因为我觉得UC_server更好拿 先说一下UCkey拿shell,uckey可以进uc_server后台看 附一张dz3的图 当然有了uc-serv...
Discuz x3.1 utility/convert/config.inc.php漏洞get shell
灰蜗牛
09-26 7675
Discuz x3.1 utility/convert/config.inc.php漏洞get shell i 春秋 --- 竞赛训练 -- 这不是DZ?
discuz7.0核心源码分析
10-19
7.0核心源码分析对于理解Discuz!的功能和运行机制具有重要意义。通过对其include的核心代码进行解析,可以更加深入地了解Discuz!的内部结构和运行原理,从而更好地进行开发和定制。同时,通过详细说明这些程序文件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值