Welcome to the website navigation,本站只接受合法正规的企业网站,欢迎站长们提交你的网站获得展示和流量有任何问题请联系站长,欢迎大家加入本站。

                
提交网站
  • 网站:76083
  • 待审:5
  • APP:577
  • 文章:304411
  • 会员:56004
文字内链包年1000元 文字内链包年1000元 文字内链包年1000元 AI办公网站 AI绘画工具 AIchat

discuz, 越权, 登陆, 漏洞, 分析

本帖最后由 吴大大 于 2020-3-6 18:09 编辑

Discuz论坛建站程序系统 3.4 越权登陆漏洞分析

概述

Discuz论坛建站程序系统是一个通用的社区论坛建站网站程序软件系统。最近看到一个Discuz论坛建站程序系统逻辑漏洞,该漏洞源于Discuz论坛建站程序系统微信登陆功能。Discuz论坛建站程序系统 3.4默认网站安装了微信登陆。利用这个漏洞攻击者可以越权登陆论坛建站网站程序其他会员的账号甚至是管理员账号,主要还得看脸。u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

原理

首先看了下作者的描述,“如果有用户点了一下绑定微信,但是并没有绑定” 这句话说的很模糊,开始没有明白什么意思。然后跟进具体代码如下看了一下。u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

图片126.png u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

名站网址导航提供  名站网址导航 u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

2020-3-6 17:51 名站分类目录u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

漏洞源码位于/upload/source/plugin/wechat/wechat.inc.php文件中。在226-246行:u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

图片123.png u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

名站网址导航提供  名站网址导航 u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

2020-3-6 15:12 名站分类目录u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

主要看下具体代码如下的逻辑:u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

第231行:从common_member_wechatmp表查询对应openid的第一条结果,这里openid可以由用户控制。u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

$mpmember = C::t('#wechat#common_member_wechatmp')->fetch_by_openid($wxopenid ? $wxopenid : $_GET['wxopenid']);

下面是fetch_by_openid函数。u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

232行:从common表中取出对应uid的所有结果,array_keys($mpmember)返回的是上一步查询数据的uid值。u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

$mpmembers = C::t('common_member')->fetch_all(array_keys($mpmember));

234-237行:u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

取上一步的第一条数据,然后从common_member_archive表里取出对应uid的用户数据,将该用户设置为登录状态。u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

$memberfirst = array_shift($mpmembers);$member = getuserbyuid($memberfirst['uid'], 1);if($member) {    setloginstatus($member, 1296000);

根据上述逻辑,也就是说只要知道用户的openid就能登陆用户的账号。看了下微信接口文档,这个openid是唯一的,并且只有用户授权了之后,公众号才可以获取。这里显然得不到openid。u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

在作者的payload中没有看到openid参数。u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

1.png u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

名站网址导航提供  名站网址导航 u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

2020-3-6 15:12 名站分类目录u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

其实这个Payload只是登陆了openid为空的第一个用户。openid为空的情况目前发现通过/plugin.php?id=wechat:wechat&ac=wxregister&username={name}这种方式可以使openid为空,但注册的是一个新的账号。u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

根据作者所说 “如果有用户点了一下绑定微信,但是并没有绑定,会写入common_member_wechatmp”,这里“并没有绑定”的意思就是绑定失败,openid为空,但作者使用的何种绑定具体的方法说的很模糊。u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

第二个是越权解除指定uid绑定的微信。同样在webchat.inc.php,判断csrftoken正确后,删除common_member_wechatmp表中对应uid的数据。u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

图片124.png u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

名站网址导航提供  名站网址导航 u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

2020-3-6 15:12 名站分类目录u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

根据以上两个洞,可以遍历并且登陆所有openid为空的账户。先登录第一个openid为空的账号->然后解绑->再登陆之后即为第二个openid为空的用户……,脸好的话是可以登陆admin的。u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

k6biz8.gif u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

名站网址导航提供  名站网址导航 u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

2020-3-6 15:12 名站分类目录u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

payload

解除指定uid绑定的微信:/plugin.php?id=wechat:wechat&ac=unbindmp&uid={uid}&hash={formhash}u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

登陆第一个openid为空的账号:/plugin.php?id=wechat:wechat&ac=wxregisteru6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

修复

在最新版本中作者删除了这段具体代码如下。下载最新版即可。u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

图片125.png u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

名站网址导航提供  名站网址导航 u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

2020-3-6 15:12 名站分类目录u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!


参考

https://gitee.com/ComsenzDiszuz/Discuz论坛建站程序系统X/issue/IPRUIu6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

经团队初步测试该漏洞危害还是很大,新版的dz论坛建站网站程序系统已经修复该漏洞,建议大驾升级或自行修复该漏洞。
u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

提供漏洞来源:https://nosec.org/home/detail/2256.htmlu6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!



@版权声明 名站网址导航声明: 1.该文观点仅代表作者本人,名站网址导航系信息发布平台,名站网址导航仅提供信息存储空间服务。 2.名站网址导航所发布的一切资源、破解补丁、注册机和注册信息及软件的解密分析文章等仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该网站程序,请支持正版软件,购买注册,得到更好的正版服务。 3.如有侵权请邮件与咱们联系删除或处理(邮箱:[email 988365@gmail.com]),本站将立即改正,谢谢。

为什么要做外链建设?seo优化与发布外链速度有哪些联系?u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

u6DAIChat_企业网址导航_网址分类目录_企业黄页网址提交查询专业网站!

分享到:

  网友投稿

注册时间:

网站:0 个   APP:0 个  文章:0 篇

  • 76083

    网站

  • 577

    APP

  • 304411

    文章

  • 56004

    会员

赶快注册账号,推广您的网站吧!
文章分类
热门网站
最新入驻APP小程序

宝贝市场2023-02-08

宝贝市场——买手和卖家商品展示

夺宝助手2023-02-08

夺宝助手小程序,查看每日快夺宝平

查诚信2023-02-08

查诚信是一款免费的商业查询工具

车价天天报2023-02-08

快速连接汽车销售,获知汽车最新报

考勤助理小程序2023-02-08

上班签到考勤,实时定位,后台轻松

汽车报价大全查询2023-02-08

汽车报价大全查询提供最新汽车市