0x00 漏洞資訊簡介
Crossday Discuz! Board(簡稱 Discuz!)是北京康盛新創科技有限責任公司推出的一套通用的社區論壇軟體系統,自2001年6月面世以來,Discuz!已擁有15年以上的應用歷史和200多萬網站用戶案例,是全球成熟度最高、覆寫率最大的論壇軟體系統之一,目前最新版本Discuz! X3.4正式版于2017年8月2日發布,去除了云平臺的相關代碼,是 X3.2 的穩定版本,此次漏洞位于/source/module/misc/misc_imgcropper.php中的54行處的$prefix可控導致SSRF,
2021最新整理網路安全/滲透測驗/安全學習/100份src技術檔案(全套視頻、CTF、大廠面經、精品手冊、必備工具包、路線)一>獲取<一
0x01 漏洞詳細分析
Discuz開源地址為Gitee,使用git clone 克隆到本地
git clone https://gitee.com/Discuz/DiscuzX
根據補丁提交記錄來切換到漏洞修復前的前一個commit版本
git checkout a5c1b95dc4464ee3da0ebd4655d30867f85d6ae9
本地搭建好運行環境之后首先訪問頁面http://www.a.com/dz/DiscuzX/upload/misc.php?mod=imgcropper,然后點擊裁切按鈕并抓包
攔截之后重放資料包在提交內容位置添加引數cutimg和picflag,紅框處填寫需要請求的IP地址并發送資料包
&cutimg=/dz/DiscuzX/upload/member.php%3fmod%3dlogging%26action%3dlogout%26referer%3d//c%2523%2540192.168.163.131%26quickforward%3d1&picflag=2
這時服務器將成功收到請求
下面來看看后端是怎么處理的,斷點地址為source/module/misc/misc_imgcropper.phpline 54,當傳遞的picflag為2時取$_G['setting']['ftp']['attachurl']變數的值"/",接下來55行接收拼接可控變數cutimg,
既然可控,那么就要看看它后面是怎么處理的,來到Thumb方法
進入init方法,到達parse_url方法后在source中決議出了host,此時就會進入dfsockopen
//dz/DiscuzX/upload/member.php?mod=logging&action=logout&referer=//c%23%40192.168.163.131&quickforward=1
parse_url支持//baidu.com/s這種形式的url決議
繼續跟進dfsockopen方法,在該方法中又進行了決議,處理同上,由于不存在協議所以scheme為null,這樣在最后拼接出來的URL就是://xx.com/,這樣的鏈接會自動補上協議,所以最后為http://://xx.com/,
在windows中使用curl請求該地址最終決議到了192.168.163.1,也就是某個網卡的本地地址,請求路徑為http://192.168.163.1/xx.com
此時我們能夠進行內網請求,但是地址并不可控,所以需要找到一個discuz可以進行任意url跳轉的漏洞,再請求該路徑跳轉出去,discuz在退出的時候會取get引數referer中的值來進行跳轉,下面來分析跳轉處的代碼,
function dreferer($default = '') {
global $_G;
$default = empty($default) && $_ENV['curapp'] ? $_ENV['curapp'].'.php' : '';
//獲取 $_GET['referer']引數
$_G['referer'] = !empty($_GET['referer']) ? $_GET['referer'] : $_SERVER['HTTP_REFERER'];
$_G['referer'] = substr($_G['referer'], -1) == '?' ? substr($_G['referer'], 0, -1) : $_G['referer'];
if(strpos($_G['referer'], 'member.php?mod=logging')) {
$_G['referer'] = $default;
}
$reurl = parse_url($_G['referer']);
//如果存在協議則判斷是否為http和https,不存在則不判斷
if(!$reurl || (isset($reurl['scheme']) && !in_array(strtolower($reurl['scheme']), array('http', 'https')))) {
$_G['referer'] = '';
}
if( !empty($reurl['host']) &&
//判斷決議的host是否為 $_SERVER['HTTP_HOST']
!in_array($reurl['host'], array($_SERVER['HTTP_HOST'], 'www.'.$_SERVER['HTTP_HOST'])) &&
//判斷 $_SERVER['HTTP_HOST']是否存在于決議出的host中
!in_array($_SERVER['HTTP_HOST'], array($reurl['host'], 'www.'.$reurl['host']))) {
if(!in_array($reurl['host'], $_G['setting']['domain']['app']) &&
!isset($_G['setting']['domain']['list'][$reurl['host']])) {
//截取決議的host第一個.后面的所有內容,沒有.則當長度為1時則回傳為空
$domainroot = substr($reurl['host'], strpos($reurl['host'], '.')+1);
//$_G['setting']['domain']['root']為array且為空
if(empty($_G['setting']['domain']['root']) ||
(is_array($_G['setting']['domain']['root']) &&
//想要不進入這個判斷需要保證 $domainroot為空,這樣referer才不會被覆寫,才能實作任意地址跳轉
!in_array($domainroot, $_G['setting']['domain']['root']))) {
$_G['referer'] = $_G['setting']['domain']['defaultindex'] ? $_G['setting']['domain']['defaultindex'] : 'index.php';
}
}
} elseif(empty($reurl['host'])) {
$_G['referer'] = $_G['siteurl'].'./'.$_G['referer'];
}
$_G['referer'] = durlencode($_G['referer']);
return $_G['referer'];
}
在上面的代碼中只要我們做到$_G['referer']不被覆寫即可,首先決議的host中存在協議則判斷是否為http和https,不存在則不判斷,所以我們可以不傳入協議,第二處判斷決議的host是否為$_SERVER['HTTP_HOST'],如果是則不進入if覆寫$_G['referer'],但是這樣的話在實際的ssrf跳轉場景中$_SERVER['HTTP_HOST']為空,
所以這個條件無法生效,后面的一個關鍵判斷$domainroot = substr($reurl['host'], strpos($reurl['host'], '.')+1);會截取決議的host第一個.后面的所有內容,沒有.并且當長度為1時則回傳為空,回傳為空時后面的!in_array($domainroot, $_G['setting']['domain']['root']))這個條件就為false,也就不會進入if判斷覆寫$_G['referer']了,但是這兒存在一個問題,如果我們host為a那么最后通過curl跳轉的時候就往a跳轉了,不能指定任意地址,此時可以利用parse_url和curl的決議差異來繞過這個限制,構造//a#[@1](https://github.com/1 "@1").1.1.1,那么parse_url將決議host為a,而curl決議host為1.1.1.1,所以就得到了構造的完整url,
0x02 漏洞利用
最后的利用流程為:ssrf訪問本地介面進行URL跳轉
301>
跳轉到目標服務器,服務器上使用跳轉腳本進行協議轉換或者任意路徑訪問
=302=>
通過指定協議如gopher,訪問指定路徑/_test…等
首先通過服務器搭建跳轉腳本index.php
<?php
header("Location: gopher://127.0.0.1:2333/_test");
?>
本地進行nc監聽
ssrf跳轉服務器地址
成功將請求轉發到本地發送test訊息
0x03 漏洞修復方法
官方在[補丁提交記錄[2]的版本提交中對漏洞進行了修復,修復方式為重寫了dfsockopen中呼叫的parse_url為_parse_url,在該方法中判斷了parse_url是否能夠決議出協議,無法決議則退出,
0x04 總結
這個漏洞的成功利用離不開對parse_url決議特性的了解,parse_url成功從cutimg變數中決議出host,才能呼叫dfsockopen方法,在該方法中使用curl請求拼接了前綴的地址://xx.com,這將請求本地地址,通過尋找discuz的url跳轉來將本地請求轉發出去,而在url跳轉的利用中使用到了parse_url和curl對//a#[@1](https://github.com/1 "@1").1.1.1的決議差異來完成任意地址訪問,最后在訪問地址使用302跳轉來達到使用指定協議請求指定路徑或發送資料的目的,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/312036.html
標籤:其他