漏洞分析 | Discuz! ML V3.X 代码注入漏洞

Discuz!ML V3.X 代码注入分析代码来源：http://discuz.ml/download作者：Web安全组-CoolCat漏洞定位在PoC的代码中填充'.1.'使得代码出错，定位出错代码文件：代码报错根据报错跟踪到source/module/portal/portal_index.php第32行portal_index.php

Discuz!ML V3.X 代码注入分析

代码来源：http://discuz.ml/download

作者：WEB安全组-CoolCat

漏洞定位

在PoC的代码中填充'.1.'使得代码出错，定位出错代码文件：

漏洞分析 | Discuz! ML V3.X 代码注入漏洞 漏洞分析 代码注入 v3.x Discuz 漏洞分析 第1张

代码报错

根据报错跟踪到source/module/portal/portal_index.php第32行

漏洞分析 | Discuz! ML V3.X 代码注入漏洞 漏洞分析 代码注入 v3.x Discuz 漏洞分析 第2张

portal_index.php 代码

查看问题函数上方查看定义函数以及关联文件的位置，可以看到template函数在/source/function/function_core.php中，继续跟进。

函数从 524行一直到655行 ，有点长，一张图看不完，这里直接看关键的第644行：

漏洞分析 | Discuz! ML V3.X 代码注入漏洞 漏洞分析 代码注入 v3.x Discuz 漏洞分析 第3张

function_core.php 代码

$cachefile = './data/template/'.DISCUZ_LANG.'_'.(defined('STYLEID') ? STYLEID.'_' : '_').$templateid.'_'.str_replace('/', '_', $file).'.tpl.php';

程序将缓存文件写在了/data/template/目录下，文件名由DISCUZ_LANG等多个变量组成，问题就出在这儿了，看看DISCUZ_LANG的值是哪儿获取来的:

漏洞分析 | Discuz! ML V3.X 代码注入漏洞 漏洞分析 代码注入 v3.x Discuz 漏洞分析 第4张

function_core.php 代码

可以看到从程序全部变量$_G['config']['output']['language']中获取了该值。继续跟进看看该值是,从哪儿设置的。

定位到/source/class/discuz/discuz_application.php：

漏洞分析 | Discuz! ML V3.X 代码注入漏洞 漏洞分析 代码注入 v3.x Discuz 漏洞分析 第5张

discuz_application.php 代码

在304行，系统通过Cookie获取了语言的值，并在341行定义了前面要找的DISCUZ_LANG，值为Cookie中获取到的$lng。

可以看到整个过程没有任何的过滤。总结一下：

外部参数`$lng`(即language语言)可控，导致`template` 函数生成的临时模板文件名可操纵，插入自己的代码，最终`include_once`包含一下最终导致了代码注入。

既然问题摸清楚了，那这里可以搜一下其他的可利用点:

漏洞分析 | Discuz! ML V3.X 代码注入漏洞 漏洞分析 代码注入 v3.x Discuz 漏洞分析 第6张

其他可利用点寻找

大约有60多个点可以用的。比如论坛主页：

漏洞分析 | Discuz! ML V3.X 代码注入漏洞 漏洞分析 代码注入 v3.x Discuz 漏洞分析 第7张

论坛主页漏洞利用点

漏洞修复

单看语言这个点，在/source/class/discuz/discuz_application.php第338行之后341行之前加入该代码暂缓此安全问题：

$lng = str_replace("(","",$lng);
$lng = str_replace(")","",$lng);
$lng = str_replace("'","",$lng);
$lng = str_replace('"',"",$lng);
$lng = str_replace('`',"",$lng);

文由米斯特安全团队