【漏洞分析】Discuz X3.3补丁安全分析

1. authkey生成算法的安全性漏洞

Discuz_X3.3_SC_UTF8\upload\install\index.php中

authkey的生成方法如下：

1	`$authkey` `=` `substr(md5($_SERVER['SERVER_ADDR'].$_SERVER['HTTP_USER_AGENT'].$dbhost.$dbuser.$dbpw.$dbname.$username.$password.$pconnect.substr($timestamp, 0, 6)), 8, 6).random(10);`

可以看出authkey主要由两部分组成：

MD5的一部分（前6位） + random生成的10位

跟入random函数

由于字符生成集合是固定的，且没有重复字符，那么函数中每一次生成hash都唯一对应了chars数组中的一个位置，而且是使用同一个seed生成的。

在之后的代码中使用了同样的random函数：

1	`$_config['cookie']['cookiepre'] = random(4).'_';`

Cookie的前四个字节是已知的，并且使用了同样的random函数，那么思路很明显：

通过已知的4位，算出random使用的种子，进而得到authkey后10位。那剩下的就需要搞定前6位，根据其生成算法，只好选择爆破的方式，由于数量太大，就一定要选择一个本地爆破的方式（即使用到authkey而且加密后的结果是已知的）。

在调用authcode函数很多的地方都可以进行校验，在这里使用找回密码链接中的id和sign参数：

sign生成的方法如下：

function dsign($str, $length = 16){

return substr(md5($str.getglobal('config/security/authkey')), 0, ($length ? max(8, $length) : 16));

}

爆破authkey 的流程：

1.通过cookie前缀爆破随机数的seed。使用php_mt_seed工具。

2.用seed生成random(10)，得到所有可能的authkey后缀。

3.给自己的账号发送一封找回密码邮件，取出找回密码链接。

4.用生成的后缀爆破前6位，范围是0x000000-0xffffff，和找回密码url拼接后做MD5求出sign。

5.将求出的sign和找回密码链接中的sign对比，相等即停止，获取当前的authkey。

2. 后台任意代码执行漏洞

对比X3.4与X3.3版本发现漏洞存在于：

upload\source\admincp\admincp_setting.php

在2535行左右，在后台对UCenter的密码进行更新的时候，没有对输入的密码进行检查，直接写入到配置文件，导致我们可以闭合前面的单引号从而达到getshell的目的，这里仅做了一个连接测试，如果连接成功则写入配置文件。

0x04 漏洞利用验证

1. authkey生成算法的安全性漏洞

使用一个普通用户登录：

获取cookie前4位：uie7

使用上述脚本整理成php_mt_seed的参数格式：

接着再用php_mt_seed生成seed：

这里php_mt_seed的参数是：

1	`0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 610 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 56 56 0 61 44 44 0 61 40 40 0 61 33 33 0 61`

在这里需要注意：

php_mt_seed多参数时是4个数为一组，含义如下图：

我们拿到的是第11-14次的随机数，要去估算第1-10次的，所以前面要空10组位置。

得到所有的种子后（约250-300），使用如下脚本处理得到所有可能的random(10):

然后重置密码，得到找回链接：

整理后执行爆破脚本：

最后破解出来为： 7e2000vULc0oQETA

对比数据库中数据，可以看出是一致的。

2. 后台任意代码执行漏洞

在管理员输入UCenter的密码时，对于用户的输入没有过滤，导致了输入的数据直接写入文件中，利用步骤如下：

1.以管理员身份登录后台

2.设置一个可以远程访问的mysql，密码为：123');phpinfo();//

3.修改UCenter 数据库密码为上述密码

4.更新后即Getshell

配置文件中的内容也被修改：

0x05 修复建议

Discuz官方已经在2017年8月1日发布最新版，请用户检查自己使用的版本，并及时更新至最新版。

0x06 时间线

2017-08-01 Discuz官方安全更新

2017-08-07 360CERT和0KEE Team完成对新版本的首次分析

2017-08-22 360CERT和0KEE Team完成对后续分析并形成报告

0x07 参考文档

https://git.oschina.net/ComsenzDiscuz/DiscuzX/commit/8446bd9e897bb19672389cc4aed42716ccd0f537

https://git.oschina.net/ComsenzDiscuz/DiscuzX/commit/bb600b8dd67a118f15255d24e6e89bd94a9bca8a

http://www.openwall.com/php_mt_seed/

【漏洞分析】Discuz X3.3补丁安全分析相关推荐

Discuz! X3.1 后台代码执行
Discuz! X3.1 后台代码执行漏洞描述 Discuz! X3.1后台存在任意代码执行问题,要后台权限. 实验步骤一.访问后台地址: http://域名/admin.php 账号:admin ...
（4.2.32）各大热补丁方案分析和比较
选自: [腾讯bugly干货分享]微信Android热补丁实践演进之路各大热补丁方案分析和比较继插件化后,热补丁技术在2015年开始爆发,目前已经是非常热门的Android开发技术.其中比较著名的 ...
Discuz!NT论坛代码小分析
Discuz开源代码结构分析 2008-4-11 右图是DiscuzNt(以下简称DZ)开源代码的方案结构 20个项目,看上去好像很庞大,现在我们来分析一下它的层次,从本人的个人分析角度上看discu ...
各大热补丁方案分析和比较
markzhai's home 首页分类关于归档标签各大热补丁方案分析和比较发表于 2015-11-20 | 分类于 android | 11条评论最近开源界涌现了很多热 ...
02-扫盲篇-操作系统常见安全漏洞攻击方式及操作系统用户权限分析
文章目录操作系统常见安全漏洞攻击: WINDOWS操作系统用户权限分析 LINUX操作系统用户权限分析 Linux的单用户多任务 Linux的多用户多任务用户(user)和用户组(group) 用 ...
Discuz!NT论坛代码小分析【转】
Discuz开源代码结构分析 2008-4-11 Carl Xu Discuz开源代码结构分析 2008-4-11 Carl Xu /* 分析DZNT的开源代码大体层次结构 */ 右图是DiscuzN ...
2017年安全漏洞审查报告：安全补丁在不断增加，用户却不安装
软件漏洞难修复吗? 年度FLexera漏洞审查报告显示,全部安全漏洞当中有81%已经拥有与之匹配的修复补丁,但多数常见软件项目的补丁安装率却相当低下. 作为一家面向应用程序开发商与企业客户的软件安全漏 ...
使用nginx搭建Discuz X3.4论坛的QQ互联登录失败问题
问题描述使用nginx搭建了一个基于http协议的Discuz X3.4论坛.在安装QQ互联插件后,尝试登录问题是失败,提示以下内容: 抱歉,当前存在网络问题或服务器繁忙,详细错误:connect_ ...
Comsenz 核心产品 Discuz! X3.3 正式版【2017-07-01】 -论坛搭建
https://www.discuz.net/thread-3796882-1-1.html 产品介绍 Discuz! X3.3 在继承和完善 Discuz! X3.2 的基础上,针对 PHP7 进行 ...

【漏洞分析】Discuz X3.3补丁安全分析

【漏洞分析】Discuz X3.3补丁安全分析相关推荐

最新文章

热门文章