Discuz 任意伪造 IP 漏洞

小执念 · 2020-1-6 14:52

Discuz! X(所有版本) 的默认代码允许攻击者任意伪造 IP，伪造 IP 的方法请看 3 楼。

因为DZ在设计上，是优先获取代理IP，然后才会检测代理服务器是否将用户真实IP传输过来，也就是说获取代理IP优先于用户真实IP。

代码如下：

source/class/discuz/discuz_application.php

复制代码

全屏查看

 private function _get_client_ip() {

                // 这个 ip 地址没问题， 是真实用户的

                $ip = $_SERVER['REMOTE_ADDR'];

                

🚂🥛📶🦜‌
                if (!$this->config['security']['onlyremoteaddr']) {



                        // $_SERVER['HTTP_CLIENT_IP'] 这个可以伪造

                        

                        if (isset($_SERVER['HTTP_CLIENT_IP']) && preg_match('/^([0-9]{1,3}\.){3}[0-9]{1,3}$/', $_SERVER['HTTP_CLIENT_IP'])) {

🖐🌞🥚♾🐝‏
                                $ip = $_SERVER['HTTP_CLIENT_IP'];



                        // $_SERVER['HTTP_X_FORWARDED_FOR'] 这个也可以伪造

                        

                        } elseif(isset($_SERVER['HTTP_X_FORWARDED_FOR']) AND preg_match_all('#\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}#s', $_SERVER['HTTP_X_FORWARDED_FOR'], $matches)) {

👂⛪🌰❌🦮‍
                                foreach ($matches[0] AS $xip) {

                                        if (!preg_match('#^(10|172\.16|192\.168)\.#', $xip)) {

                                                $ip = $xip;

                                                break;

                                        }👨‍🚒‏🧢🪣🥱🦷

                                }

                        }

                }

                return $ip == '::1' ? '127.0.0.1' : $ip;

        }

复制代码

2020年1月19日更新：

config/config_global.php

复制代码

这个文件中的

 $_config['security']['onlyremoteaddr'] = 1;

复制代码

只在 Discuz X3.5 中有效
参见：https://gitee.com/ComsenzDiscuz/DiscuzX/pulls/342

------------------------沙雕分割线-------------------------------

我也不知道为什么这样设计代码，可能是考虑小白站长使用 cdn 后的问题？
因为我已经用 nginx 转换了代理（CDN）的 ip 地址，所以修改成如下：

全屏查看

 private function _get_client_ip() {

                $ip = $_SERVER['REMOTE_ADDR'];🧑‍🌾‍👚💰😤👀

                return $ip == '::1' ? '127.0.0.1' : $ip;

/*                

                if (!$this->config['security']['onlyremoteaddr']) {

                        if (isset($_SERVER['HTTP_CLIENT_IP']) && preg_match('/^([0-9]{1,3}\.){3}[0-9]{1,3}$/', $_SERVER['HTTP_CLIENT_IP'])) {

                                $ip = $_SERVER['HTTP_CLIENT_IP'];

🤳⛴🥄🆒🐻‌
                        } elseif(isset($_SERVER['HTTP_X_FORWARDED_FOR']) AND preg_match_all('#\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}#s', $_SERVER['HTTP_X_FORWARDED_FOR'], $matches)) {

                                foreach ($matches[0] AS $xip) {

                                        if (!preg_match('#^(10|172\.16|192\.168)\.#', $xip)) {

                                                $ip = $xip;

                                                break;‎👖🩸🥲👏

                                        }

                                }

                        }

                }

                return $ip == '::1' ? '127.0.0.1' : $ip;

👍🌦🍒🅿🦮‏
*/

        }

复制代码

$_SERVER['REMOTE_ADDR'] 获取到用户 ip 之后，直接返回，不执行后面的代码了。

如果你没使用 CDN，这样修改就可以了。如果使用了 CDN，那么还要修改 nginx，把访客的 ip 转发，参考 https://www.guhei.net/post/jb1759

任意, 伪造, 漏洞

帖子热度 7391 ℃

Discuz 任意伪造 IP 漏洞

相关帖子

什么样的密码才算安全?

拼多多解散漏洞攻击团队，但还保留20人继续挖漏洞

Google Chrome 又爆0day漏洞，建议升级

家用路由器被发现存在大量漏洞

英特尔处理器新漏洞 Load Value Injection

加密漏洞允许黑客克隆丰田现代起亚的汽车遥控钥匙

浏览过的版块

管理员