记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Discuz!旗下产品统一存在一个csrf+sql批量执行风险(dz3.x,dz7.x,SupeSite7.x等等)

2014-12-24 15:20

今天看dz的SupeSite7.x产品的时候,发现一个dz统一存在的脱裤风险:



直接看代码,我们在做数据库还原的时候,抓到一个链接:



http://192.168.10.70/SupeSite7.5_SC_UTF8/upload//admincp.php?action=database&op=importstart&do=import&datafile=./backup_OpVKpM/140928_0Idz28GO-1.sql







这个链接的意思就是从某一个文件然后读取sql语句,进行还原



那么我们来分析一下代码:

admin_databases.php:(457-483):

code 区域
elseif($op == 'importstart') {



$do = postget('do') ;

$delunzip = postget('delunzip');

$datafile = postget('datafile');

$confirm = postget('confirm');

$multivol = postget('multivol');

$datafile_vol1 = postget('datafile_vol1');

$autoimport = postget('autoimport');



if($do == 'zip') {

require_once S_ROOT .'./include/zip.lib.php';

$unzip = new SimpleUnzip();

$unzip->ReadFile($datadir.'/'.$datafile);

echo $datadir.'/'.$datafile;

echo "<br>";

echo $unzip->GetName(0);

exit;

if($unzip->Count() == 0 || $unzip->GetError(0) != 0 || !preg_match('/\.sql$/i', $importfile = $unzip->GetName(0))) {

showmessage('database_import_file_illegal');

}



$identify = explode(',', base64_decode(preg_replace('/^# identify:\s*(\w+).*/s', '\\1', substr($unzip->GetData(0), 0, 256))));



$info = basename($datafile).'<br />'.$alang['database_export_version'].':'.$identify[1].'<br />'.$alang['database_export_type'].':'.$alang['database_export_'.$identify[2]].'<br />'.$alang['database_method'].':'.($identify[3] == 'multivol' ? $alang['database_multivol'] : $alang['database_shell']).'<br />';

//检查版本号

$confirm = isset($confirm) ? 1 : 0;







问题刚才的url逻辑走向不会走到这里,我们改一下url:



http://192.168.10.70/SupeSite7.5_SC_UTF8/upload//admincp.php?action=database&op=importstart&do=zip&datafile=./backup_OpVKpM/xxxx.png





这里我们选择do为zip 然后 datafile为一个png,关键问题就在这里





我们首先压缩一个sql文件到zip文件里面,然后把这个zip文件后缀改为png



由于涉及导致这里没有对zip文件做判断 只是对解压出来的文件做了一个sql后缀判断



那么我们打印一下,看看是否能够解压出来

52.png





哈哈到此为止,我就不多做演示了,后面的步骤,就是根据sql语句里面的代码,然后一条条执行



我发了好多这种类型的csrf,这个也是个get类型的,老样子,一张图片搞定





下来我们分析DZ3.x,dz3.x做数据库还原的时候,本身data目录底下是没有restore.php

,需要从工具那边copy过来,这里我们只是分析风险,看代码



restore.php:(142-162):

code 区域
} elseif($operation == 'importzip') {



if(!getgpc('datafile_server')) {

show_msg('database_import_file_illegal');

} else {

$datafile_server = getgpc('datafile_server');

if(!@file_exists($datafile_server)) {

show_msg('database_import_file_illegal');

}

}

$datafile_vol1 = trim(getgpc('datafile_vol1', 'G'));

$multivol = intval(getgpc('multivol', 'G'));



require_once ROOT_PATH.'./source/class/class_zip.php';

$unzip = new SimpleUnzip();

$backupdir = substr($datafile_server, 8, 13);

$unzip->ReadFile($datafile_server);



if($unzip->Count() == 0 || $unzip->GetError(0) != 0 || !preg_match("/\.sql$/i", $importfile = $unzip->GetName(0))) {

show_msg('database_import_file_illegal');

}





看见没有 这里面的datafile_server 类型为zip的时候 也是没有做文件后缀的判断,直接解压出来sql文件,然后一条条执行语句,这里我就不截图证明了



我们直接看7.x,7.x可就不用那么copy还原文件了,直接操作数据库都可以



首先看代码



db.inc.php:(323-339):

code 区域
} elseif($operation == 'importzip') {



if(empty($datafile_server)) {

cpmsg('database_import_file_illegal', '', 'error');

} else {

$datafile_server = DISCUZ_ROOT.'./forumdata/'.$backupdir.'/'.basename($datafile_server);

if(!@file_exists($datafile_server)) {

cpmsg('database_import_file_illegal', '', 'error');

}

}



require_once DISCUZ_ROOT.'admin/zip.func.php';

$unzip = new SimpleUnzip();

$unzip->ReadFile($datafile_server);



if($unzip->Count() == 0 || $unzip->GetError(0) != 0 || !preg_match("/\.sql$/i", $importfile = $unzip->GetName(0))) {

cpmsg('database_import_file_illegal', '', 'error');

}







这里的代码依旧是没有做zip后缀检测,这里我们打印一下过程,证明是可以csrf+sql批量执行的



我们进行数据库恢复,抓取到一个get链接:

http://192.168.10.70/Discuz_7.2_SC_UTF8/upload/admincp.php?action=db&operation=import&from=server&datafile_server=./forumdata/backup_997165/140915_ce31AeXP-1.sql&importsubmit=yes





我们 修改一下这个链接



http://192.168.10.70/Discuz_7.2_SC_UTF8/upload/admincp.php?action=db&operation=importzip&from=server&datafile_server=./forumdata/backup_997165/xxxx.png&importsubmit=yes





压缩一个sql文件为xxxx.zip 然后改为xxxx.png,测试期间我们就放到这个目录下,因为这个目录支持目录遍历,到时候前台上传一个图片就ok了

在代码中打印:

code 区域
require_once DISCUZ_ROOT.'admin/zip.func.php';

$unzip = new SimpleUnzip();

$unzip->ReadFile($datafile_server);

echo $unzip->GetName(0);

exit;







结果如图所示:



53.png





到这里 之后的东西我就不演示了 csrf+get请求 批量执行sql,这个东西其实还蛮严重的 因为这里支持各种操作,root 就能提权等等



漏洞证明:

修复方案:

知识来源: www.wooyun.org/bugs/wooyun-2014-077625

阅读:91987 | 评论:0 | 标签:CSRF discuz

想收藏或者和大家分享这篇好文章→复制链接地址

“Discuz!旗下产品统一存在一个csrf+sql批量执行风险(dz3.x,dz7.x,SupeSite7.x等等)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词