[PHP知识库] Discuz X 后台二次注入漏洞

开发: C++知识库 Java知识库 JavaScript Python PHP知识库人工智能区块链大数据移动开发嵌入式开发工具数据结构与算法开发测试游戏开发网络协议系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑笔记本显卡显示器固态硬盘硬盘耳机手机 iphone vivo oppo 小米华为单反装机图拉丁

-> PHP知识库 -> Discuz X 后台二次注入漏洞 -> 正文阅读

[PHP知识库]Discuz X 后台二次注入漏洞

漏洞分析

uc_client\model\base.php 37行

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-LSHXEZvc-1647761074924)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220320145305217.png)]$

跟进

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SJRqxLeD-1647761074925)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220320145330072.png)]$

继续跟进，可以看到此处进行了mysql查询，此处的UC_APPID查找其来源

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ebKfRVog-1647761074925)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220320145355014.png)]$

ctrl+左键点进去看一下

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-EaaZmEMt-1647761074925)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220320145919423.png)]$

发现是在配置文件里面写着的

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qra77EfQ-1647761074926)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220320150041488.png)]$

全局搜索一下UC_APPID

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4HZce3K6-1647761074926)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220320150113528.png)]$

发现是这样写进去的，首先在配置文件里面查找原先的define(‘UC_APPID’, …);然后用"define(‘UC_APPID’, ‘".$settingnew[‘uc’][‘appid’]."’)"进行替换，UC_APPID的值为$settingnew[‘uc’][‘appid’]

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-8OYF0JsY-1647761074927)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220320150150954.png)]$

向上找$settingnew[‘uc’][‘appid’]的来源，发现参数可控，且只是对内容进行了简单的addslashes

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XJjpNhXn-1647761074927)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220320150302939.png)]$

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SGOQby3w-1647761074927)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220320150334738.png)]$

那么我们只需要将payload赋值给$settingnew[‘uc’][‘appid’]，其会被addslashes后（2280行）存入配置文件（2295行），然后当mysql查询时，从配置文件查询出来的还是原来的字符串，原因如下

转义一次的字符串被写入文件中，在PHP解析时就是没有转义过的原始内容 造成了二次注入的产生
比如
<?php
define('UC_APPID', 'sadsadsadasd\'');
printf(UC_APPID);
结果如下

在这里插入图片描述

漏洞复现

进入后台

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Ocszt5Jj-1647761074928)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220320150942236.png)]$

抓包，此处写入payload

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wQKVk1cz-1647761074928)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220320151040757.png)]$

发包

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jmwCsOkz-1647761074928)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220320152307148.png)]$

发现成功写入

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sOEeS1wA-1647761074928)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220320151138183.png)]$

附

我们可以看到此时配置文件中为这样 $(img-hJW3XIny-1647761074929)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220320151247139.png)]$

当mysql查询时，要获取配置文件中UC_APPID的值，而该值只被转义过一次，所以在PHP解析时就是没有转义过的原始内容造成了二次注入的产生

如下是漏洞触发点，简单调试一下

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-x6fNQPi1-1647761074929)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220320151530527.png)]$

再次发包，发现UC_APPID的值确实为最原始的值，没有被转义，造成了二次注入

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-aPsfBN89-1647761074929)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220320151608290.png)]$