Discuz!X.3.4 ML任意代碼執行漏洞修復（discuz多國語言版）

1314學習網

0X1 漏洞描述

2019年7月11日，網絡上出現了一個Discuz！ML遠程代碼執行漏洞的PoC，研究員驗證對discuz x3.4進行全面的網站滲透測試的時候，發現discuz多國語言版存在遠程代碼執行漏洞，該漏洞可導致論壇被直接上傳webshell,直接遠程獲取管理員權限，linux服務器可以直接執行系統命令，危害性較大，關于該discuz漏洞的詳情，我們來詳細的分析看下。攻擊者能夠利用該漏洞在請求流量的cookie字段中（language參數）插入任意代碼，執行任意代碼，從而實現完全遠程接管整個服務器的目的，該漏洞利用方式簡單，危害性較大。漏洞影響范圍包括如下版本。
Discuz ML! V3.X存在代碼注入漏洞，
攻擊者通過精心構建的請求報文可以直接執行惡意的PHP代碼，
進一步可獲取整個網站的服務器權限。

漏洞影響版本：

Discuz！ML v.3.4，
Discuz！ML v.3.2，
Discuz！ML v.3.3 codersclub.org的產品

Discuz！ML是一個由CodersClub.org創建的多語言，集成，功能齊全的開源網絡平臺，

用于構建像“社交網絡”這樣的互聯網社區。使用這些軟件創建的數百個論壇包括v3.2，v3.3，v3.4。
1.3如何區分Discuz！ML網站

通常，這些站點包含以下類型的頁腳或站點的左下側。

Discuz! ML v.3.4、Discuz! ML v.3.3、Discuz! ML v.3.2
源碼下載鏈接：https://bitbucket.org/vot/discuz.ml/downloads/


0X2 漏洞分析!

根據公告定位文件source/module/portal/portal_index.php第32行

登錄/注冊后可看大圖

查看問題函數上方查看定義函數以及關聯文件的位置，可以看到template函數在/source/function/function_core.php中，繼續跟進

登錄/注冊后可看大圖

問題代碼如下所示。

$cachefile = './data/template/'.DISCUZ_LANG.'_'.(defined('STYLEID') ? STYLEID.'_' : '_').$templateid.'_'.str_replace('/', '_', $file).'.tpl.php';

程序將緩存文件寫在了/data/template/目錄下，文件名由DISCUZ_LANG等多個變量組成，問題就出在這兒了，看看DISCUZ_LANG的值是哪兒獲取來的:

登錄/注冊后可看大圖

可以看到從程序全部變量$_G[‘config’][‘output’][‘language’]中獲取了該值。繼續跟進看看該值可以定位到/source/class/discuz/discuz_application.php：

登錄/注冊后可看大圖

在304行，系統通過Cookie獲取了語言的值，并在341行定義了前面要找的DISCUZ_LANG，值為Cookie中獲取到的lng。可以看到整個過程沒有任何的過濾。整個流程即就是：外部參數‘ lng。可以看到整個過程沒有任何的過濾。整個流程即就是：外部參數`lng。可以看到整個過程沒有任何的過濾。整個流程即就是：外部參數‘lng(即language語言)可控，導致template函數生成的臨時模板文件名可操縱，插入自己的代碼，最終include_once`包含一下最終導致了代碼注入。那這里可以搜一下其他的可利用點，全局查找：

登錄/注冊后可看大圖

大約有60多個點可以用的。

0X3 漏洞利用

訪問論壇主頁，在Cookie的language字段值后面拼接php代碼：

1. ‘.phpinfo().’

復制代碼

登錄/注冊后可看大圖

執行命令獲得管理員權限：

登錄/注冊后可看大圖

0X4 漏洞修復
對discuz的版本進行全面的升級，在language參數值中進行全面的安全過濾，限制逗號，以及閉合語句的執行，還有\斜杠都一些特殊惡意代碼進行攔截，必要的話對其進行轉義，如果對代碼不是太熟悉的話，也可以找專業的網站安全公司來進行漏洞修復，國內也就SINE安全公司，綠盟，啟明星辰比較專業。再一個對discuz目錄的權限進行安全分配，限制data目錄的腳本執行權限，防止PHP腳本的運行，最重要的就是做好網站的安全防護。
打開 source/class/discuz/discuz_application.php
找到

1. if(!$lng) {

復制代碼

修改為

1. if(!preg_match("#^[\w]+$#i", $lng)){
   
2.         $lng = '';
   
3. }
   
4. if(!$lng) {

復制代碼

原文地址：http://esoln.net/esoln/blog/2019/06/14/discuzml-v-3-x-code-injection-vulnerability/

我知道答案 回答被采納將會獲得1 貢獻 已有1人回答

allthebest

謝謝分享