phpmtseed32技巧_Discuz X33补丁安然分析

文章目录 [+]

0x00

背景先容

phpmtseed32技巧_Discuz X33补丁安然分析

Discuz官方于2017年8月1号发布最新版X3.4版本，在最新版本中修复了多个安全问题。
360CERT和360 0KEE Team遂对该事宜进行跟进。

（图片来自网络侵删）

0x01 漏洞概述

360CERT和360 0KEE Team通过比拟Discuz_X3.3_SC_UTF8与Discuz_X3.4_SC_UTF8版本，创造X3.3_SC_UTF8版本存在数个漏洞。
本报告紧张涉及两个漏洞：

1.authkey天生算法的安全性问题：

用户在初次安装软件时，系统会自动天生一个authkey写入全局配置文件和数据库，之后安装文件会被删除。
该authkey用于对普通用户的cookie进行加密等密码学操作，但是由于天生算法过于大略，可以利用公开信息进行本地爆破。

2.后台任意代码实行问题：

管理员在后台对数据库连接密码进行修正时，由于没有对输入进行检讨，导致任意代码实行。

0x02 漏洞攻击面影响

1.影响面

Discuz基本上是基于Cookie而非Session，以是一旦authkey被获取，将导致Cookie的加密失落效，进而可以解密Cookie的auth字段获取用户的密码。
系统中其他逻辑也大量利用了authkey和authcode算法，该漏洞可导致一系列安全问题：假造ulastactivity可掌握session持久韶光；邮箱校验的hash参数被破解，导致任意邮箱注册等。

其余一旦拥有一个管理员账号，则可利用后台任意代码实行漏洞，在后台Getshell进而掌握做事器。

经由360CERT与360 0KEE Team研判后确认，漏洞风险等级高，影响范围广。

2.影响版本

通过代码剖析，确定涉及如下版本：

lDiscuz_X3.3_SC_GBK

lDiscuz_X3.3_SC_UTF8

lDiscuz_X3.3_TC_BIG5

lDiscuz_X3.3_TC_UTF8

lDiscuz_X3.2_SC_GBK

lDiscuz_X3.2_SC_UTF8

lDiscuz_X3.2_TC_BIG5

lDiscuz_X3.2_TC_UTF8

lDiscuz_X2.5_SC_GBK

lDiscuz_X2.5_SC_UTF8

lDiscuz_X2.5_TC_BIG5

lDiscuz_X2.5_TC_UTF8

3.修复版本

lDiscuz_X3.4_SC_GBK

lDiscuz_X3.4_SC_UTF8

lDiscuz_X3.4_TC_BIG5

lDiscuz_X3.4_TC_UTF8

0x03 漏洞详情

1.authkey天生算法的安全性漏洞

Discuz_X3.3_SC_UTF8\upload\install\index.php中

authkey的天生方法如下：

$authkey = substr(md5($_SERVER['SERVER_ADDR'].$_SERVER['HTTP_USER_AGENT'].$dbhost.$dbuser.$dbpw.$dbname.$username.$password.$pconnect.substr($timestamp, 0, 6)), 8, 6).random(10);

可以看出authkey紧张由两部分组成：

MD5的一部分（前6位） + random天生的10位

跟入random函数

由于字符天生凑集是固定的，且没有重复字符，那么函数中每一次天生hash都唯一对应了chars数组中的一个位置，而且是利用同一个seed天生的。

在之后的代码中利用了同样的random函数：

$_config['cookie']['cookiepre'] = random(4).'_';

Cookie的前四个字节是已知的，并且利用了同样的random函数，那么思路很明显：

通过已知的4位，算出random利用的种子，进而得到authkey后10位。
那剩下的就须要搞定前6位，根据其天生算法，只好选择爆破的办法，由于数量太大，就一定要选择一个本地爆破的办法（即利用到authkey而且加密后的结果是已知的）。

在调用authcode函数很多的地方都可以进行校验，在这里利用找回密码链接中的id和sign参数：

sign天生的方法如下：

function dsign($str, $length = 16){

return substr(md5($str.getglobal('config/security/authkey')), 0, ($length ? max(8, $length) : 16));

}

爆破authkey 的流程：

1.通过cookie前缀爆破随机数的seed。
利用php_mt_seed工具。

2.用seed天生random(10)，得到所有可能的authkey后缀。

3.给自己的账号发送一封找回密码邮件，取出找回密码链接。

4.用天生的后缀爆破前6位，范围是0x000000-0xffffff，和找回密码url拼接后做MD5求出sign。

5.将求出的sign和找回密码链接中的sign比拟，相等即停滞，获取当前的authkey。

2.后台任意代码实行漏洞

比拟X3.4与X3.3版本创造漏洞存在于：

upload\source\admincp\admincp_setting.php

在2535行旁边，在后台对UCenter的密码进行更新的时候，没有对输入的密码进行检讨，直接写入到配置文件，导致我们可以闭合前面的单引号从而达到getshell的目的，这里仅做了一个连接测试，如果连接成功则写入配置文件。

0x04 漏洞利用验证

1.authkey天生算法的安全性漏洞

利用一个普通用户登录：

获取cookie前4位：uie7

利用上述脚本整理成php_mt_seed的参数格式：

接着再用php_mt_seed天生seed：

这里php_mt_seed的参数是：

0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 610 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 0 61 56 56 0 61 44 44 0 61 40 40 0 61 33 33 0 61

在这里须要把稳：

php_mt_seed多参数时是4个数为一组，含义如下图：

我们拿到的是第11-14次的随机数，要去估算第1-10次的，以是前面要空10组位置。

得到所有的种子后（约250-300），利用如下脚本处理得到所有可能的random(10):

然后重置密码，得到找回链接：

整理后实行爆破脚本：

末了破解出来为： 7e2000vULc0oQETA

比拟数据库中数据，可以看出是同等的。

2.后台任意代码实行漏洞

在管理员输入UCenter的密码时，对付用户的输入没有过滤，导致了输入的数据直接写入文件中，利用步骤如下：

1.以管理员身份登录后台

2.设置一个可以远程访问的mysql，密码为：123');phpinfo();//