網站安全滲透測試服務之discuz漏洞挖掘與利用

近期我們SINE安全在對discuz x3.4進行全面的網站滲透測試的時候，發現discuz多國語言版存在遠端程式碼執行漏洞，該漏洞可導致論壇被直接上傳webshell,直接遠端獲取管理員許可權，linux伺服器可以直接執行系統命令，危害性較大，關於該discuz漏洞的詳情，我們來詳細的分析看下。

discuz漏洞影響範圍：discuz x3.4 discuz x3.3 discuz x3.2,版本都受該網站漏洞的影響，漏洞產生的原因是在source目錄下function資料夾裡function_core.php程式碼裡的cookies與語言language引數值並沒有詳細的進行安全過濾與檢測，導致可以插入惡意的程式碼到資料庫，並遠端執行惡意程式碼，可獲取webshell許可權。

discuz漏洞分析

我們來看下剛才產生漏洞的程式碼，在第535行往下看，有一段程式碼是這樣寫的，預設網站系統將快取資料儲存在data資料夾裡的template目錄中，快取檔名的命名是由前面的discuz_lang引數進行控制來命令的，漏洞產生的原因就在這裡。那這個discuz_lang引數的值是從來獲取來的呢？ 我們跟進分析網站程式碼，可以看到是從language語言這一變數裡去獲取的值，也就是說，我們要利用這個網站漏洞，首先要去改變這個language的值，將惡意程式碼插入到這個值當中去，POC程式碼如下：

post資料到論壇的forum.php頁面，將post資料改為：Z3T2_2132_language=en'.phpinfo().';即可執行php語句，整個漏洞的分析，我們可以看出discuz官方並沒有對post資料裡的cookies值進行安全過濾與判斷，導致可以直接寫入language裡惡意程式碼並遠端執行，可以構造一句話程式碼，直接獲取webshell。

網站漏洞修復與安全防護方案

對discuz的版本進行全面的升級，在language引數值中進行全面的安全過濾，限制逗號，以及閉合語句的執行，還有\斜槓都一些特殊惡意程式碼進行攔截，必要的話對其進行轉義，如果對程式碼不是太熟悉的話，也可以找專業的網站安全公司來進行漏洞修復，國內也就SINE安全公司，綠盟，啟明星辰比較專業。再一個對discuz目錄的許可權進行安全分配，限制data目錄的指令碼執行許可權，防止PHP指令碼的執行，最重要的就是做好網站的安全防護。