0X1 漏洞概述
2019年7月11日,网络上出现了一个Discuz!ML远程代码执行漏洞的PoC,研究员验证分析发现,攻击者能够利用该漏洞在请求流量的cookie字段中(language参数)插入任意代码,执行任意代码,从而实现完全远程接管整个服务器的目的,该漏洞利用方式简单,危害性较大。漏洞影响范围包括如下版本。
Discuz! ML v.3.4、Discuz! ML v.3.3、Discuz! ML v.3.2
源码下载链接:https://bitbucket.org/vot/discuz.ml/downloads/
0X2 漏洞分析!
根据公告定位文件source/module/portal/portal_index.php第32行
查看问题函数上方查看定义函数以及关联文件的位置,可以看到template函数在/source/function/function_core.php中,继续跟进
问题代码如下所示。
KaTeX parse error: Expected group after '_' at position 45: …'.DISCUZ_LANG.'_̲'.(defined('STY…templateid.’’.str_replace(’/’, '’, $file).’.tpl.php’;
程序将缓存文件写在了/data/template/目录下,文件名由DISCUZ_LANG等多个变量组成,问题就出在这儿了,看看DISCUZ_LANG的值是哪儿获取来的:
可以看到从程序全部变量$_G[‘config’][‘output’][‘language’]中获取了该值。继续跟进看看该值可以定位到/source/class/discuz/discuz_application.php:
在304行,系统通过Cookie获取了语言的值,并在341行定义了前面要找的DISCUZ_LANG,值为Cookie中获取到的 l n g 。 可 以 看 到 整 个 过 程 没 有 任 何 的 过 滤 。 整 个 流 程 即 就 是 : 外 部 参 数 ‘ lng。可以看到整个过程没有任何的过滤。整个流程即就是:外部参数` lng。可以看到整个过程没有任何的过滤。整个流程即就是:外