discuz discuz_admincp.php 讲解,Discuz! 1.5-2.5 命令执行漏洞分析(CVE-2018-14729)

最新推荐文章于 2022-05-10 15:59:10 发布
最新推荐文章于 2022-05-10 15:59:10 发布
阅读量725 收藏
点赞数
文章标签: discuz discuz_admincp.php 讲解

158270

0x00 漏洞简述

漏洞信息

8月27号有人在GitHub上公布了有关Discuz 1.5-2.5版本中后台数据库备份功能存在的命令执行漏洞的细节。

漏洞影响版本

Discuz! 1.5-2.5

0x01 漏洞复现

官方论坛下载相应版本就好。

0x02 漏洞分析

需要注意的是这个漏洞其实是需要登录后台的,并且能有数据库备份权限,所以比较鸡肋。

我这边是用Discuz! 2.5完成漏洞复现的,并用此进行漏洞分析的。

漏洞点在:

source/admincp/admincp_db.php

第296行:

@shell_exec($mysqlbin.'mysqldump --force --quick '.($db->version() > '4.1' ? '--skip-opt --create-options' : '-all').' --add-drop-table'.($_GET['extendins'] == 1 ? ' --extended-insert' : '').''.($db->version() > '4.1' && $_GET['sqlcompat'] == 'MYSQL40' ? ' --compatible=mysql40' : '').' --host="'.$dbhost.($dbport ? (is_numeric($dbport) ? ' --port='.$dbport : ' --socket="'.$dbport.'"') : '').'" --user="'.$dbuser.'" --password="'.$dbpw.'" "'.$dbname.'" '.$tablesstr.' > '.$dumpfile);

在shell_exec()函数中可控点在$tablesstr,向上看到第281行:

$tablesstr = '';

foreach($tables as $table) {

$tablesstr .= '"'.$table.'" ';

}

跟一下$table的获取流程,在上面的第143行:

if($_GET['type'] == 'discuz' || $_GET['type'] == 'discuz_uc')

{

$tables = arraykeys2(fetchtablelist($tablepre), 'Name');

}

elseif($_GET['type'] == 'custom')

{

$tables = array();

if(empty($_GET['setup']))

{

$tables = C::t('common_setting')->fetch('custombackup', true);

}

else

{

C::t('common_setting')->update('custombackup', empty($_GET['customtables'])? '' : $_GET['customtables']);

$tables = & $_GET['customtables'];

}

if( !is_array($tables) || empty($tables))

{

cpmsg('database_export_custom_invalid', '', 'error');

}

}

可以看到:

C::t('common_setting')->update('custombackup', empty($_GET['customtables'])? '' : $_GET['customtables']);

$tables = & $_GET['customtables'];

首先会从$_GET的数组中获取customtables字段的内容,判断内容是否为空,不为空则将从外部获取到的customtables字段内容写入common_setting表的skey=custombackup的svalue字段,写入过程中会将这个字段做序列化存储:

158270

之后再将该值赋给$tables。

至此可以看到漏洞产生的原因是由于shell_exec()中的$tablesstr可控,导致代码注入。

0x03 漏洞利用

漏洞的调用栈如下:

admin.php->source/class/discuz/discuz_admincp.php->source/admincp/admincp_db.php

跟着漏洞的调用栈看一下如何利用。

首先在admin.php中:

if(empty($action) || $frames != null) {

$admincp->show_admincp_main();

} elseif($action == 'logout') {

$admincp->do_admin_logout();

dheader("Location: ./index.php");

} elseif(in_array($action, $admincp_actions_normal) || ($admincp->isfounder && in_array($action, $admincp_actions_founder))) {

if($admincp->allow($action, $operation, $do) || $action == 'index') {

require $admincp->admincpfile($action);

} else {

cpheader();

cpmsg('action_noaccess', '', 'error');

}

} else {

cpheader();

cpmsg('action_noaccess', '', 'error');

}

关键点在构造参数满足require $admincp->admincpfile($action);且$action为db。也就说需要构造参数满足:

$admincp->isfounder && in_array($action, $admincp_actions_founder) # 为真

$admincp->allow($action, $operation, $do) # 为真

$admincp->isfounder是确认当前用户的,返回为True,这里只需要构造$action为db。

跟进require $admincp->admincpfile($action);:

function admincpfile($action) {

return './source/admincp/admincp_'.$action.'.php';

}

这里就包含了source/admincp/admincp_db.php。跟进看一下:

158270

这边需要满足$operation == ‘export’,同时存在exportsubmit字段。

之后,

158270

需要构造file字段,同时$_GET[‘type’] == ‘custom’且$_GET[‘setup’]和$_GET[‘customtables’]非空。向下跟,还需要满足最后一个条件$_GET[‘method’] != ‘multivol’,这样才能调用else中的操作,完成代码注入。

有了上面的这些基础分析,我们抓个符合上方条件的包来看一下。经过测试,

158270

158270

这样可以抓到符合我们条件的请求包。

158270

接下来只需要将customtables的内容更改一下就可以造成命令执行了:

158270

158270

效果为:

158270

0x04 参数获取问题

通过上面的分析可以看到最终可控参数的获取都是利用$_GET来获取的,但是我们在构造时发送的是post数据,那么为什么会照常获取到呢?

在admin.php第18行包含了source/class/class_core.php:跟进看一下:

...

C::creatapp();

class core

{

...

public static function creatapp() {

if(!is_object(self::$_app)) {

self::$_app = discuz_application::instance();

}

return self::$_app;

}

...

}

跟进到source/class/discuz/discuz_application.php中:

public function __construct() {

$this->_init_env();

$this->_init_config();

$this->_init_input();

$this->_init_output();

}

接着跟进到_init_input()中:

...

if($_SERVER['REQUEST_METHOD'] == 'POST' && !empty($_POST)) {

$_GET = array_merge($_GET, $_POST);

}

...

可以看到如果构造了post请求,Discuz的核心类会将$_GET和$_POST这两个list拼接到一起,赋给$_GET数组。

0x05 修复方法

可以利用addslashes()对可控点进行限制,同时利用escapeshellarg()函数来限制$tablesstr执行命令。

0x06 Discuz 3.4的做法

Discuz 3.4非常有趣的一点不是把这个漏洞修了,而是直接在source/admincp/admincp_db.php第307行写了一个错误…:

list(, $mysql_base) = DB::fetch($query, DB::$drivertype == 'mysqli' ? MYSQLI_NUM : MYSQL_NUM);

调用了一个未声明的静态变量,所以该功能直接是挂掉的,没有办法使用,可谓是简单粗暴…

0x07 参考资料

FoolMitAh/CVE-2018-14729

[1]  https://github.com/FoolMitAh/CVE-2018-14729

weixin_39740419
关注
dz 论坛x2.5爆路径 利用
l460602540的专栏
09-12 1598
http://blog.sina.com.cn/s/blog_4ab77dfb01015xro.html 注:转载请注明出处 Lind0ws 's Blog    http://localhost/uc_server/control/admin/db.php    http://localhost/source/plugin/myrepeats/table/table_myr
2024HVV在即| 最新漏洞CVE库(1.5W)与历史漏洞POC总结分享!
最新发布
记录开发和安全学习过程中的点点滴滴
04-22 2099
也快到护网的时间了,每年的护网都是一场攻防实战的盛宴,那么漏洞库就是攻防红蓝双方人员的弹药库,红队人员可以通过工具进行监测是否存在历史漏洞方便快速打点,而蓝队则可以对资产进行梳理和监测历史漏洞,及时处理和修复,做好准备.
discuz discuz_admincp.php 讲解,admincp
weixin_34803738的博客
03-19 349
ReDiscuz3.2云储存插件用的是ace 写入yaml后不成功,怎么办?是不是还要解析域名?-------------------------ReDiscuz3.2云储存插件替换class_core文件后出现错误Discuz! System ErrorCloud file not exists!PHP Debug[table=100%,#aaaaaa,,1][tr=rgb(238, 238, ...
DZ(discuz) x2.5 爆路径漏洞
收集盒 Book box
11-20 2665
/* just for search DZ x2.5 爆路径 绝对路径 dzx2.5爆路径 dz2.5爆路径 dz x.25 Dz x.25 DZ 2.5 */ 白肚 & 股沟 没找到dzx2.5的爆路径的漏洞 遂拿自己写的那个白盒测试挖洞辅助工具 果断秒杀之 发出来共享之 爆路径文件如下: /uc_server/control/admin/db.php /source/plug
Discuz! X2.5 远程代码执行漏洞及EXP[XDAY]
oceanark的博客
07-13 2713
----------- 首先膜拜大牛的共享精神,我淫比较懒试了几个站都没成功就不弄了,但有人说成功了,不知道是PR问题还是补丁了   正文:前面省略一万+字。。。。 利用方法 1.注册任意账户 2.登陆用户,发表blog日志(注意是日志) 3.添加图片,选择网络图片,地址{${fputs(fopen(base64_decode(ZGVtby5waHA),
DZ x2.5 爆路径漏洞
fengling132的专栏
08-23 867
测试exp:    http://localhost/uc_server/control/admin/db.php    http://localhost/source/plugin/myrepeats/table/table_myrepeats.php    http://localhost/install/include/install_lang.php
Discuz!_X2.5_数据字典-pdf 版本
10-29
### Discuz! X2.5 数据字典 #### 概述 《Discuz! X2.5 数据字典》是一份详细的文档,旨在为Discuz! X2.5社区论坛系统的数据库表结构提供全面的解释与说明。通过这份文档,用户可以更深入地了解每个表的作用、字段...
Discuz!_X2.5_数据字典.docx
12-03
Discuz! X2.5 数据字典详解》 Discuz! X2.5 是一款广泛应用的论坛管理系统,它的数据字典提供了对数据库中各表结构的详细描述,便于开发者和管理员理解和操作论坛数据。本篇文章将深入解析 Discuz! X2.5 的主要...
discuz config_global.php,Discuz! X config_global.php配置注释教程
05-24
以下是Discuz! X的config_global.php配置文件的注释教程: ```php <?php /** * Discuz! X - 配置文件 * * 版权所有 (C) 2001-2019 Comsenz Inc. * This is NOT a freeware, use is subject to license terms *...
Discuz!X2.5_插件制作教程借鉴.pdf
12-25
X2.5 插件制作教程】是一个针对Discuz!X2.5论坛系统的插件开发教程,适合已经对PHP和数据库有一定基础的站长或开发者学习。本教程旨在帮助用户理解和掌握如何在Discuz!X2.5框架内创建自定义插件,以满足特定功能需求...
Discuz2.5-3.4任意文件删除漏洞分析
老北京砸酱锤的博客
06-22 623
Discuz!X ≤3.4 任意文件删除漏洞 Discuz!X社区软件,是一个采用 PHP 和 MySQL 等其他多种数据库构建的性能优异、功能全面、安全稳定的社区论坛平台。 2017年9月29日,Discuz!修复了一个安全问题用于加强安全性,这个漏洞会导致前台用户可以导致任意删除文件漏洞。 修复建议 升级到最新版本的 Discuz! 实验环境 操作机:centos7 目标地址:192.168.0.105 Discuz版本:3.1 实验步骤 步骤1:了解原理 该漏洞于2014年6.
Discuz原码分析(一)admincp.php
Black_c的专栏
01-08 3447
 php/*    [Discuz!] (C)2001-2007 Comsenz Inc.    This is NOT a freeware, use is subject to license terms    $Id: admincp.php 10318 2007-08-25 12:26:40Z heyond $*/define(IN_ADMINCP, TRUE);define(
最新的Discuz!NT2.5漏洞
10-05 2021
导读:   最新的Discuz!NT2.5漏洞   此文章已发表在《黑客X档案》2008年第10期杂志上   后经作者发布在博客上,如转载请务必保留此信息!   炎炎夏日,激情八月,让人兴奋的北京奥运会终于圆满结束了!这是全中国人民的光荣,这是全中国人民的骄傲!那一刻你会为自己是个中国人而感到自豪,流在你身上的炎黄子孙的血液会沸腾……话说离上次写稿差不多有半年了,这半年里发生了许许多多事,
discuz discuz_admincp.php 讲解,${discuz-admincp_db.php-vul}漏洞修复方法
weixin_30466329的博客
03-19 181
/*** [Discuz!] (C)2001-2099 Comsenz Inc.* This is NOT a freeware, use is subject to license terms** $Id: admincp_db.php 33605 2013-07-16 03:36:20Z hypowang $*/if(!defined('IN_DISCUZ') |...
discuz漏洞汇总
热门推荐
hacker0ne的博客
05-05 5万+
Discuz漏洞拿服务器 路径泄露 ‘api/addons/zendcheck.php’, ‘api/addons/zendcheck52.php’, ‘api/addons/zendcheck53.php’, ‘source/plugin/mobile/api/1/index.php’, ...
Discuz! x 2.5-3.0 beta 存储型跨站漏洞
weixin_30800807的博客
09-23 108
漏洞版本: Discuz x 2.5 - 3.0 漏洞描述: Discuz! 已拥有11年以上的应用历史和200多万网站用户案例 是全球成熟度最高、覆盖率最大的论坛软件系统之一,淘帖处发表评论,直接插入XSS CODE。可触发XSS漏洞 <* 参考 http://loudong.360.cn/vul/info/id/255 *> 安全建议: 厂...
discuzX3.2admin.php
yhjztoucher的专栏
05-29 1345
$discuz = C::app(); $discuz->init(); 此时在$discuz
漏洞复现-DiscuzX 系列全版本后台SQL注入漏洞
qq_59350385的博客
05-10 1685
目录 环境搭建 (1)源码下载: 漏洞检测 报错注入 写文件 漏洞分析 环境搭建 (1)源码下载: https://search.gitee.com/?skin=rec&type=repository&q=discuz git clonehttp://htts://gite.com/ComsenzDiscuzX.git 放置于web根目录,访问即可进入安装页面 (2)也可搭建vulhub靶场,启动discuz环境 漏洞检测 http://.....
java栈溢出漏洞cve,Rockwell Automation栈溢出高危漏洞CVE-2018-14829)
weixin_28432777的博客
03-15 226
Rockwell Automation栈溢出高危漏洞 (CVE-2018-14829)发布日期:2018-09-19更新日期:2018-09-22受影响系统:Rockwell Automation RSLinx Classic <= 4.00.01描述:RSLinx Classis是一个软件平台,Logix5000可编程自动化控制器(Programmable Automation Contr...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值