Discuz! X2.5 远程代码执行漏洞预警及EXP[XDAY]

看到discuz dede啥的漏洞一下就精神了，哈哈……过程简单说下，记的有点乱不贴太多代码了diff一下看balabalabala…..if(!defined('IN_DISCUZ')) {@@ -89,7 +89,7 @@}}if($searcharray && $replacearray) {- $content = preg_replace("/(<a\s+.*?>.*?<\/a>)|(<img\s+.*?[\/]?>)|(\[attach\](\d+)\[\/attach\])/ies", 'helper_seo::base64_transform("encode", "<relatedlink>", "\\1\\2\\3", "</relatedlink>")', $content);+ $content = preg_replace("/(<a\s+.*?>.*?<\/a>)|(<img\s+.*?[\/]?>)|(\[attach\](\d+)\[\/attach\])/ies", "helper_seo::base64_transform('encode', '<relatedlink>', '\\1\\2\\3', '</relatedlink>')", $content);$content = preg_replace($searcharray, $replacearray, $content, 1);$content = preg_replace("/<relatedlink>(.*?)<\/relatedlink>/ies", "helper_seo::base64_transform('decode', '', '\\1', '')", $content);}@@ -100,7 +100,7 @@ www.2cto.compublic static function base64_transform($type, $prefix, $string, $suffix) { if($type == 'encode') {- return $prefix.base64_encode(str_replace("\&;", "'", $string)).$suffix; // – -+ return $prefix.base64_encode(str_replace("\\\&;", "\&;", $string)).$suffix;} elseif($type == 'decode') { return $prefix.base64_decode($string).$suffix;}够清楚吧，问题在/source/class/helper/helper_seo.php 92行附近的：$content = preg_replace(“/(.*?<\/a>)|()|(\[attach\](\d+)\[\/attach\])/ies”, ‘helper_seo::base64_transform(“encode”, ““, “\\1\\2\\3″, ““)’, $content);preg_replace 使用了e修正符，又是双引号，所以导致远程任意代码执行。需要论坛支持个功能，啥功能看68行$_G['cache']['relatedlink']，grep下relatedlink一路跟，具体代码先不贴，找到需要后台开个seo功能，在运营-关联链接/admin.php?frames=yes&action=misc&operation=relatedlink，且至少需要设置一个链接，这功能不是所有管理员都开，但是我觉得大部分都会开，如果不开，它就只能是个后台拿shell的tips了。function_core.php 1925function parse_related_link($content, $extent) {return helper_seo::parse_related_link($content, $extent);}看正则"/(<a\s+.*?>.*?<\/a>)|(<img\s+.*?[\/]?>)|(\[attach\](\d+)\[\/attach\])/ies"那么利用方式还用说么？ 各种地方比如source/include/space/space_blog.php，懂的都懂了:P晚点再公开详细利用方法，一会上班到公司数据中心跑下看影响范围吧，五点了，找程序找好久作者 北北的blog没有行囊，没有目的，我孤独的走在路上，