看到discuz dede啥的 漏洞 一下就精神了,哈哈…… 过程简单说下,记的有点乱不贴太多代码了 diff一下看 balabalabala..... if(!defined('IN_DISCUZ')) { @@ -89,7 +89,7 @@ } } if($searcharray && $replacearray) { - $content = preg_replace("/(<a\s+.*?>.*?<\/a>)|(<img\s+.*?[\/]?>)|(\[attach\](\d+)\[\/attach\])/ies", 'helper_seo::base64_transform("encode", "<relatedlink>", "\\1\\2\\3", "</relatedlink>")', $content); + $content = preg_replace("/(<a\s+.*?>.*?<\/a>)|(<img\s+.*?[\/]?>)|(\[attach\](\d+)\[\/attach\])/ies", "helper_seo::base64_transform('encode', '<relatedlink>', '\\1\\2\\3', '</relatedlink>')", $content); $content = preg_replace($searcharray, $replacearray, $content, 1); $content = preg_replace("/<relatedlink>(.*?)<\/relatedlink>/ies", "helper_seo::base64_transform('decode', '', '\\1', '')", $content); } @@ -100,7 +100,7 @@ HdhCmsTest2cto测试数据 public static function base64_transform($type, $prefix, $string, $suffix) { if($type == 'encode') { - return $prefix.base64_encode(str_replace("\'", "'", $string)).$suffix; // - - + return $prefix.base64_encode(str_replace("\\\"", "\"", $string)).$suffix; } elseif($type == 'decode') { return $prefix.base64_decode($string).$suffix; } 够清楚吧,问题在/source/class/helper/helper_seo.php 92行附近的: $content = preg_replace([/(.*?<\/a>)|()|(\[attach\](\d+)\[\/attach\])/ies], ‘helper_seo::base64_transform([encode], [[, [\\1\\2\\3″, [[)’, $content); preg_replace 使用了e修正符,又是双引号,所以导致远程任意代码执行。 需要 论坛 支持个功能,啥功能看68行$_G['cache']['relatedlink'],grep下relatedlink一路跟,具体代码先不贴,找到需要后台开个 seo 功能,在运营-关联链接/admin.php?frames=yes&action=misc&operation=relatedlink,且至少需要设置一个链接,这功能不是所有管理员都开,但是我觉得大部分都会开,如果不开,它就只能是个后台拿shell的tips了。 function_core.php 1925 function parse_related_link($content, $extent) { return helper_seo::parse_related_link($content, $extent); } 看正则 "/(<a\s+.*?>.*?<\/a>)|(<img\s+.*?[\/]?>)|(\[attach\](\d+)\[\/attach\])/ies" 那么利用方式还用说么? 各种地方比如source/include/space/space_blog.php,懂的都懂了:P 晚点再公开详细利用方法,一会上班到公司数据中心跑下看影响范围吧,五点了,找程序找好久 作者 北北的blog
查看更多关于Discuz! X2.5 远程代码执行漏洞预警及EXP[XDAY] - 网站的详细内容...