Discuz! X 3.4 ML 任意代码执行漏洞复现

攻防渗透 同时被 3 个专栏收录
12 篇文章 1 订阅
8 篇文章 0 订阅
8 篇文章 1 订阅

0X1 漏洞概述

2019年7月11日,网络上出现了一个Discuz!ML远程代码执行漏洞的PoC,研究员验证分析发现,攻击者能够利用该漏洞在请求流量的cookie字段中(language参数)插入任意代码,执行任意代码,从而实现完全远程接管整个服务器的目的,该漏洞利用方式简单,危害性较大。漏洞影响范围包括如下版本。

Discuz! ML v.3.4、Discuz! ML v.3.3、Discuz! ML v.3.2
源码下载链接:https://bitbucket.org/vot/discuz.ml/downloads/

0X2 漏洞分析!

根据公告定位文件source/module/portal/portal_index.php第32行
在这里插入图片描述

查看问题函数上方查看定义函数以及关联文件的位置,可以看到template函数在/source/function/function_core.php中,继续跟进

在这里插入图片描述

问题代码如下所示。

KaTeX parse error: Expected group after '_' at position 45: …'.DISCUZ_LANG.'_̲'.(defined('STY…templateid.’’.str_replace(’/’, '’, $file).’.tpl.php’;
程序将缓存文件写在了/data/template/目录下,文件名由DISCUZ_LANG等多个变量组成,问题就出在这儿了,看看DISCUZ_LANG的值是哪儿获取来的:

在这里插入图片描述

可以看到从程序全部变量$_G[‘config’][‘output’][‘language’]中获取了该值。继续跟进看看该值可以定位到/source/class/discuz/discuz_application.php:

在这里插入图片描述

在304行,系统通过Cookie获取了语言的值,并在341行定义了前面要找的DISCUZ_LANG,值为Cookie中获取到的 l n g 。 可 以 看 到 整 个 过 程 没 有 任 何 的 过 滤 。 整 个 流 程 即 就 是 : 外 部 参 数 ‘ lng。可以看到整个过程没有任何的过滤。整个流程即就是:外部参数` lnglng(即language语言)可控,导致template函数生成的临时模板文件名可操纵,插入自己的代码,最终include_once`包含一下最终导致了代码注入。那这里可以搜一下其他的可利用点,全局查找:
在这里插入图片描述

大约有60多个点可以用的。

0X3 漏洞利用

访问论坛主页,在Cookie的language字段值后面拼接php代码:

‘.phpinfo().’

在这里插入图片描述

执行命令获得管理员权限:

在这里插入图片描述
0X4 漏洞修复

在/source/class/discuz/discuz_application.php 第338行之后341行之前加入该代码暂缓此安全问题:

l n g = s t r r e p l a c e ( " ( " , " " , lng = str_replace("(","", lng=strreplace("(","",lng); l n g = s t r r e p l a c e ( " ) " , " " , lng = str_replace(")","", lng=strreplace(")","",lng); l n g = s t r r e p l a c e r e p l a c e ( ′ " ′ , " " , lng = str_replace_replace('"',"", lng=strreplacereplace(","",lng); l n ( " ′ " , " " , ln("'","", ln("","",lng); l n g = s t r g = s t r r e p l a c e ( ′ ‘ ′ , " " , lng = strg = str_replace('`',"", lng=strg=strreplace(,"",lng);

获取更多漏洞复现知识请关注WX公众号【安全漏洞环境学习】

  • 0
    点赞
  • 0
    评论
  • 0
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

©️2021 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值