Discuz!論壇install.php書寫錯誤漏洞

書寫錯誤，導致惡意使用者構造語句可以寫入webshell，進而控制整個伺服器。

前幾個晚上，把前台檔案，只要是資料庫調用中的變數都看了一遍。看看是不是有過濾不嚴的地方，看完後覺得，過濾不嚴的地方的確不少，但是都已經被單引號保護起來了。在php中，如果magic_qoute_gpc=on（預設的）編譯器會自動把單引號等特殊字元轉義，而這個時候我們想改變程式的執行流程是非常困難的。這樣大大的增加了入侵的難度，在某種程度上，也的確保證了其安全。這也是為什麼朋友提出一定要在magic_qoute_gpc為on的時候依然可以利用的要求。如果需要單引號介入才能利用的漏洞，在Discuz!論壇中基本上是沒什麼用處的。

在把所有檔案中資料庫連接的地方讀了一個遍後，沒找到任何有價值的東西。這個時候思路開始有一點亂了，我在猶豫自己是否應該試著從程式員的思維邏輯漏洞下手看看，這就意味著我要去通讀所有代碼，找到程式員在寫程式時考慮不周全的地方，這種漏洞多半是上下文邏輯關係錯誤，或者是限定不唯一，還有就是一些本來應該注意，但管理員卻偏偏忽略的地方。

想到這裡，看來沒什麼能偷懶的了，只能通讀代碼。因為既然目標是邏輯錯誤，那麼就一定要細看內容相關的關係，所以選擇從進入點開始讀起。進入點就應該是logging.php，因為這是登陸的地方，所有人都會從這裡登陸進入論壇。上吧！

老規矩，我們先來看一段代碼：

=========codz begin==========

50 $errorlog = "$username\t".substr($password, 0, 2);

......

54 $errorlog .= substr($password, -1)."\t$onlineip\t$timestamp\n";

55 $password = md5($password);

56 $query = $db->query("SELECT m.username as discuz_user, m.password as discuz_pw, m.status, m.styleid AS styleidmem, m.lastvisit,

u.groupid, u.isadmin, u.specifiedusers LIKE '%\t$username\t%' AS specifieduser

FROM $table_members m LEFT JOIN $table_usergroups u ON u.specifiedusers LIKE '%\t$username\t%' OR (u.status=m.status AND ((u.creditshigher='0' AND u.creditslower='0' AND u.specifiedusers='') OR (m.credit>=u.creditshigher AND m.creditWHERE username='$username' AND password='$password' ORDER BY specifieduser DESC");

......

69 if(!$discuz_user)

{

70 @$fp = fopen($discuz_root.'./forumdata/illegallog.php', 'a');

71 @flock($fp, 3);

72 @fwrite($fp, $errorlog);

73 @fclose($fp);

74 showmessage('login_invalid', 'index.php');

}

=========codz endz==============

這段代碼我們來一句一句看看，他先紀錄輸入的使用者名稱和密碼，密碼只取前兩位，然後取密碼後一位，並且將ip和時間一起賦過來。然後去密碼的md5值，放到資料庫中去。如果你認為我們可以改變資料庫執行語句的操作流程那就錯了，面對單引號我們沒有什麼可以做的（至少是我做不了什麼，除非加密）。後面如果使用者名稱和密碼不對則將紀錄下錯誤使用者名稱和密碼到illegallog.php中。整個這個記錄錯誤密碼的過程中，變數沒有經過任何驗證，也就是說如果我成心輸入錯誤的使用者名稱，他也不會作檢查然後直接記錄下來。那麼如果我的錯誤的使用者名稱是一個可執行檔代碼，他也會記錄下來。在他記錄下來之後我們去調用這個檔案就可以形成一個shell。

到這裡你是不是已經興奮了？對不起，你的興奮無效。我是一點都興奮不起來，因為我在前面讀第一遍的時候，特別注意過Discuz!對檔案控制代碼的操作，他的確對個別變數沒有過濾，但是他在install.php中得初始化的時候，已經給所有用到的以.php結尾的資料檔案開始的地方添加了一句：。這是初始化的時候寫入的，我們都應該明白這句話的作用。你無法去調用你寫入的東西，因為一開始就已經結束了.這樣顯然是無法成功的。有點煩了，心想不就是5根羊棒嗎？輸就輸了！一賭氣扔下代碼，自己跑到姥姥的那屋，摟著姥姥撒起嬌來，（在姥姥面前撒嬌、耍賴、搗亂是我最喜歡的事情之一）我在姥姥面前反覆咒罵著Discuz!的變態，說我自己如何如何認真的讀代碼。姥姥並不知道我在說什麼，也不在乎我給她搗亂，繼續看著自己的電視。過了一會兒，姥姥應了一句："你這孩子啊，就是粗心，一點都不心細，你看你這什麼碼（估計是說代碼）又壞了吧"。我嘎嘎大聲的笑著爬回了自己的屋子。坐在電腦前，喝了杯白開水，冷靜了一下。

做安全的人細心，毅力，自學，善於總結是非常必要的。回過頭又把logging.php檔案重新讀一編，看看有沒有什麼自己忽略的地方。檔案並不長，又看了一遍覺得還是沒什麼問題。既然這裡沒什麼問題，思路就放到那句上，這句話是如何寫入的呢？

於是在install.php中翻到了這段代碼：

==========codz begin==========

29 function loginit($log) {

30 echo '初始化記錄 '.$log;

31 $fp = @fopen('./forumdata/illegallog.php');

32 @fwrite($fp, "\n");

33 @fclose($fp);

34 result();

35 }

......

1389 loginit('karmalog');

1390 loginit('illegallog');

1391 loginit('modslog');

1392 loginit('cplog');

1393 dir_clear('./forumdata/templates');

1394 dir_clear('./forumdata/cache');

==========codz endz==========

很顯然，loginit這個函數就是在往illegallog.php中寫入這句話。這樣我們就算寫入了代碼也會因為那句話的存在而無法調用執行。我們已經完全進入了一個死胡同。但我似乎覺得這段代碼哪裡有些問題，再仔細看了一下，那個fopen看著怎麼那麼不順眼啊。如果沒記錯的話fopen的文法格式應該是這樣的：

resource fopen ( string filename, string mode [, int use_include_path [, resource zcontext]])

前面兩個參數，一個是檔案控制代碼，或者指定開啟哪個檔案。第二個參數是指定開啟的方式，比如讀還是寫。這裡要提醒大家的是這個兩個參數是必選的。比如我們寫入目錄下的Jambalaya.php,我們的語句是這麼寫的：fopen('./Jambalya.php','w'),後面那個開啟檔案必須選的，否則就會報錯。可是我們注意到，他的代碼中只有一個參數，這樣程式怎麼可能正確執行呢？

我們來做一個實驗，建立一個1.php，寫入如下代碼：

===========codz begin==========

$fp = @fopen('./2.php');

@fwrite($fp, "\n");

@fclose($fp);

echo "success!";

===========codz endz============

在這裡做一個和Discuz!中的一樣的環境，如果這個程式執行成功，那麼會在根目錄下產生一個2.php，而2.php的開頭一行應該是，並且螢幕上顯示success,其實這裡的success就是用來讓我們瞭解程式執行所到的位置。我們在url中提交：http://127.0.0.1/myhome/1.php,螢幕上顯示了success，這說明已經執行到程式的尾部。但是檢查目錄時發現並沒有產生名為2.php的檔案，也就是說我們寫入失敗了。也許大家會奇怪，寫入失敗應該有出錯資訊啊。的確應該有，但是因為在fopen前加上了@，而@在php中是用來抑制所有調用函數產生的錯誤資訊的。換句話說就是即使出錯了，也不會報錯。

姥姥教訓的沒錯，我太粗心了！

假設一切都是按我的思路走過的話，也就說在安裝初始化的時候，因為那個fopen的錯誤使用，所以discuz/forumdata目錄下絕對不會產生一個含有代碼的illegallog.php檔案，但是因為抑制出錯資訊，所安裝的時候會依然顯示初始化成功，其實卻並沒有初始化，更沒有產生illegallog.php。而如果這裡沒有初始化，也就意味著illegallog.php的產生和初始化將在logging.php中完成。logging.php的初始化並沒有對檔案寫入任何保護語句或者過濾措施來避免使用者調用。到這裡，一切都明朗了。說得直白一點，也就是因為install.php檔案錯誤的初始化的緣故，我們可以通過logging.php寫入惡意代碼，然後調用那個檔案來產生一個shell控制整個網站。

Exploit代碼如下

以下內容可能帶有攻擊性，僅供安全研究與教學之用。使用者風險自負

不用註冊任何賬戶，到登陸頁面，在登陸使用者名稱的地方先輸入123456，斷行符號。這裡大家可能明白了，密碼前兩位是顯示的，這樣illegallog.php裡面儲存的就是：

*****6 127.0.0.1 1022383175

這就可以查看php的設定了，我們先看一下register_globals這個設定是否為on。（大部分的網站都是on）好，然後我們在登陸口輸入,這裡最好不用system()，我在做測試的時候很多網站把這個system()函數禁用了。

然後我們調用http://192.168.0.13/forumdata/illegallog.php?cmd=dir

前面出來一堆垃圾資訊，往最下面看是不是可以看到目錄被列出來了？但是這樣寫入有點麻煩，因為在實驗的時候，大的網站註冊使用者有10萬多人，那麼這個檔案會大的出奇，開啟速度奇慢。

那麼我們這裡其實還可以這樣寫入，我們把php的shell改成jpg格式的圖片，上傳到主機。

在URL中調用：

http://192.168.0.13/forumdata/illegallog.p...chments/Jam.php

然後我們直接提交URL:

http://192.168.0.13/attachments/Jam.php就?...一個shell了吧！