当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-077625

漏洞标题:Discuz!旗下产品统一存在一个csrf+sql批量执行风险(dz3.x,dz7.x,SupeSite7.x等等)

相关厂商:Discuz!

漏洞作者: menmen519

提交时间:2014-09-28 14:07

修复时间:2014-12-24 14:08

公开时间:2014-12-24 14:08

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-09-28: 细节已通知厂商并且等待厂商处理中
2014-10-03: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2014-11-27: 细节向核心白帽子及相关领域专家公开
2014-12-07: 细节向普通白帽子公开
2014-12-17: 细节向实习白帽子公开
2014-12-24: 细节向公众公开

简要描述:

Discuz!旗下产品统一存在一个sql批量执行风险(dz3.x,dz7.x,SupeSite7.x等等)

详细说明:

今天看dz的SupeSite7.x产品的时候,发现一个dz统一存在的脱裤风险:
直接看代码,我们在做数据库还原的时候,抓到一个链接:
http://192.168.10.70/SupeSite7.5_SC_UTF8/upload//admincp.php?action=database&op=importstart&do=import&datafile=./backup_OpVKpM/140928_0Idz28GO-1.sql
这个链接的意思就是从某一个文件然后读取sql语句,进行还原
那么我们来分析一下代码:
admin_databases.php:(457-483):

elseif($op == 'importstart') {
	$do = postget('do') ;
	$delunzip = postget('delunzip');
	$datafile = postget('datafile');
	$confirm = postget('confirm');
	$multivol = postget('multivol');
	$datafile_vol1 = postget('datafile_vol1');
	$autoimport = postget('autoimport');
	if($do == 'zip') {
		require_once S_ROOT .'./include/zip.lib.php';
		$unzip = new SimpleUnzip();
		$unzip->ReadFile($datadir.'/'.$datafile);
		echo $datadir.'/'.$datafile;
		echo "<br>";
		echo $unzip->GetName(0);
		exit;
		if($unzip->Count() == 0 || $unzip->GetError(0) != 0 || !preg_match('/\.sql$/i', $importfile = $unzip->GetName(0))) {
			showmessage('database_import_file_illegal');
		}
		$identify = explode(',', base64_decode(preg_replace('/^# identify:\s*(\w+).*/s', '\\1', substr($unzip->GetData(0), 0, 256))));
		$info = basename($datafile).'<br />'.$alang['database_export_version'].':'.$identify[1].'<br />'.$alang['database_export_type'].':'.$alang['database_export_'.$identify[2]].'<br />'.$alang['database_method'].':'.($identify[3] == 'multivol' ? $alang['database_multivol'] : $alang['database_shell']).'<br />';
		//检查版本号
		$confirm = isset($confirm) ? 1 : 0;


问题刚才的url逻辑走向不会走到这里,我们改一下url:
http://192.168.10.70/SupeSite7.5_SC_UTF8/upload//admincp.php?action=database&op=importstart&do=zip&datafile=./backup_OpVKpM/xxxx.png
这里我们选择do为zip 然后 datafile为一个png,关键问题就在这里
我们首先压缩一个sql文件到zip文件里面,然后把这个zip文件后缀改为png
由于涉及导致这里没有对zip文件做判断 只是对解压出来的文件做了一个sql后缀判断
那么我们打印一下,看看是否能够解压出来

52.png


哈哈到此为止,我就不多做演示了,后面的步骤,就是根据sql语句里面的代码,然后一条条执行
我发了好多这种类型的csrf,这个也是个get类型的,老样子,一张图片搞定
下来我们分析DZ3.x,dz3.x做数据库还原的时候,本身data目录底下是没有restore.php
,需要从工具那边copy过来,这里我们只是分析风险,看代码
restore.php:(142-162):

} elseif($operation == 'importzip') {
	if(!getgpc('datafile_server')) {
		show_msg('database_import_file_illegal');
	} else {
		$datafile_server = getgpc('datafile_server');
		if(!@file_exists($datafile_server)) {
			show_msg('database_import_file_illegal');
		}
	}
	$datafile_vol1 = trim(getgpc('datafile_vol1', 'G'));
	$multivol = intval(getgpc('multivol', 'G'));
	require_once ROOT_PATH.'./source/class/class_zip.php';
	$unzip = new SimpleUnzip();
	$backupdir = substr($datafile_server, 8, 13);
	$unzip->ReadFile($datafile_server);
	if($unzip->Count() == 0 || $unzip->GetError(0) != 0 || !preg_match("/\.sql$/i", $importfile = $unzip->GetName(0))) {
		show_msg('database_import_file_illegal');
	}


看见没有 这里面的datafile_server 类型为zip的时候 也是没有做文件后缀的判断,直接解压出来sql文件,然后一条条执行语句,这里我就不截图证明了
我们直接看7.x,7.x可就不用那么copy还原文件了,直接操作数据库都可以
首先看代码
db.inc.php:(323-339):

} elseif($operation == 'importzip') {
	if(empty($datafile_server)) {
		cpmsg('database_import_file_illegal', '', 'error');
	} else {
		$datafile_server = DISCUZ_ROOT.'./forumdata/'.$backupdir.'/'.basename($datafile_server);
		if(!@file_exists($datafile_server)) {
			cpmsg('database_import_file_illegal', '', 'error');
		}
	}
	
	require_once DISCUZ_ROOT.'admin/zip.func.php';
	$unzip = new SimpleUnzip();
	$unzip->ReadFile($datafile_server);
	
	if($unzip->Count() == 0 || $unzip->GetError(0) != 0 || !preg_match("/\.sql$/i", $importfile = $unzip->GetName(0))) {
		cpmsg('database_import_file_illegal', '', 'error');
	}


这里的代码依旧是没有做zip后缀检测,这里我们打印一下过程,证明是可以csrf+sql批量执行的
我们进行数据库恢复,抓取到一个get链接:
http://192.168.10.70/Discuz_7.2_SC_UTF8/upload/admincp.php?action=db&operation=import&from=server&datafile_server=./forumdata/backup_997165/140915_ce31AeXP-1.sql&importsubmit=yes
我们 修改一下这个链接
http://192.168.10.70/Discuz_7.2_SC_UTF8/upload/admincp.php?action=db&operation=importzip&from=server&datafile_server=./forumdata/backup_997165/xxxx.png&importsubmit=yes
压缩一个sql文件为xxxx.zip 然后改为xxxx.png,测试期间我们就放到这个目录下,因为这个目录支持目录遍历,到时候前台上传一个图片就ok了
在代码中打印:

require_once DISCUZ_ROOT.'admin/zip.func.php';
	$unzip = new SimpleUnzip();
	$unzip->ReadFile($datafile_server);
	echo $unzip->GetName(0);
	exit;


结果如图所示:

53.png


到这里 之后的东西我就不演示了 csrf+get请求 批量执行sql,这个东西其实还蛮严重的 因为这里支持各种操作,root 就能提权等等

漏洞证明:

修复方案:

版权声明:转载请注明来源 menmen519@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-12-24 14:08

厂商回复:

最新状态:

暂无