Discuz! X 3.4 ML 任意代码执行漏洞复现

0X1 漏洞概述

2019年7月11日，网络上出现了一个Discuz！ML远程代码执行漏洞的PoC，研究员验证分析发现，攻击者能够利用该漏洞在请求流量的cookie字段中（language参数）插入任意代码，执行任意代码，从而实现完全远程接管整个服务器的目的，该漏洞利用方式简单，危害性较大。漏洞影响范围包括如下版本。

Discuz! ML v.3.4、Discuz! ML v.3.3、Discuz! ML v.3.2
源码下载链接：https://bitbucket.org/vot/discuz.ml/downloads/

0X2 漏洞分析

根据公告定位文件source/module/portal/portal_index.php第32行

查看问题函数上方查看定义函数以及关联文件的位置，可以看到template函数在/source/function/function_core.php中，继续跟进

问题代码如下所示。

  $cachefile = './data/template/'.DISCUZ_LANG.'_'.(defined('STYLEID') ? STYLEID.'_' : '_').$templateid.'_'.str_replace('/', '_', $file).'.tpl.php';

程序将缓存文件写在了/data/template/目录下，文件名由DISCUZ_LANG等多个变量组成，问题就出在这儿了，看看DISCUZ_LANG的值是哪儿获取来的:

可以看到从程序全部变量$_G['config']['output']['language']中获取了该值。继续跟进看看该值可以定位到/source/class/discuz/discuz_application.php：

在304行，系统通过Cookie获取了语言的值，并在341行定义了前面要找的DISCUZ_LANG，值为Cookie中获取到的$lng。可以看到整个过程没有任何的过滤。整个流程即就是：外部参数`$lng`(即language语言)可控，导致`template` 函数生成的临时模板文件名可操纵，插入自己的代码，最终`include_once`包含一下最终导致了代码注入。那这里可以搜一下其他的可利用点，全局查找：

大约有60多个点可以用的。

0X3 漏洞利用

访问论坛主页，在Cookie的language字段值后面拼接php代码：

'.phpinfo().'

执行命令获得管理员权限：

0X4 漏洞修复

在/source/class/discuz/discuz_application.php 第338行之后341行之前加入该代码暂缓此安全问题：

$lng = str_replace("(","",$lng);$lng = str_replace(")","",$lng);$lng = str_replace_replace('"',"",$lng);$ln("'","",$lng);$lng = strg = str_replace('`',"",$lng);