|
|
近期我們SINE安全在對discuz x3.4進行全面的網站滲透測試的時候���,發現discuz多國語
言版存在遠程代碼執行漏洞�,該漏洞可導致論壇被直接上傳webshell,直接遠程獲取管理員權限
����,linux服務器可以直接執行系統命令����,危害性較大,關于該discuz漏洞的詳情���,我們來詳細的
分析看下。
1-1ZG6091IE21.png (291.58 KB, 下載次數: 5)
下載附件
2019-8-18 15:20 上傳
discuz漏洞影響范圍:discuz x3.4 discuz x3.3 discuz x3.2,版本都受該網站漏洞的影響�,漏洞
產生的原因是在source目錄下function文件夾里function_core.php代碼里的cookies與語言lang
uage參數值并沒有詳細的進行安全過濾與檢測����,導致可以插入惡意的代碼到數據庫���,并遠程執
行惡意代碼���,可獲取webshell權限�。
discuz漏洞分析
我們來看下剛才產生漏洞的代碼����,在第535行往下看,有一段代碼是這樣寫的�,默認網站系統
將緩存數據存儲在data文件夾里的template目錄中�,緩存文件名的命名是由前面的discuz_lang
參數進行控制來命令的���,漏洞產生的原因就在這里����。那這個discuz_lang參數的值是從來獲取來
的呢? 我們跟進分析網站代碼����,可以看到是從language語言這一變量里去獲取的值���,也就是說
�,我們要利用這個網站漏洞,首先要去改變這個language的值����,將惡意代碼插入到這個值當中
去�,POC代碼如下:
1-1ZG6091R2920.png (273.96 KB, 下載次數: 4)
下載附件
2019-8-18 15:20 上傳
post數據到論壇的forum.php頁面�,將post數據改為:Z3T2_2132_language=en'.phpinfo().';即
可執行php語句,整個漏洞的分析,我們可以看出discuz官方并沒有對post數據里的cookies值
進行安全過濾與判斷���,導致可以直接寫入language里惡意代碼并遠程執行,可以構造一句話代
碼,直接獲取webshell����。
1-1ZG6091T9317.png (374.11 KB, 下載次數: 4)
下載附件
2019-8-18 15:20 上傳
網站漏洞修復與安全防護方案
對discuz的版本進行全面的升級����,在language參數值中進行全面的安全過濾���,限制逗號����,以及閉
合語句的執行����,還有\斜杠都一些特殊惡意代碼進行攔截,必要的話對其進行轉義����,如果對代碼
不是太熟悉的話����,也可以找專業的網站安全公司來進行漏洞修復���,國內也就SINE安全公司�,綠
盟,啟明星辰比較專業����。再一個對discuz目錄的權限進行安全分配���,限制data目錄的腳本執行權
限�,防止PHP腳本的運行�,最重要的就是做好網站的安全防護。
|
|
發表于 2019-7-18 15:58:50
發表于 2019-8-17 09:32:50
皖公網安備34010302002376號