• 欢迎访问开心洋葱网站,在线教程,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站,欢迎加入开心洋葱 QQ群
  • 为方便开心洋葱网用户,开心洋葱官网已经开启复制功能!
  • 欢迎访问开心洋葱网站,手机也能访问哦~欢迎加入开心洋葱多维思维学习平台 QQ群
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏开心洋葱吧~~~~~~~~~~~~~!
  • 由于近期流量激增,小站的ECS没能经的起亲们的访问,本站依然没有盈利,如果各位看如果觉着文字不错,还请看官给小站打个赏~~~~~~~~~~~~~!

最新DZ上传漏洞-Discuz NT 多版本文件上传漏洞

其他 开心洋葱 2618次浏览 0个评论
 
受影响版本:貌似都受影响。 
 
漏洞文件:tools/ajax.aspx 
 
漏洞分析:这个页面里的ajax请求,都没有进行权限的验证,游客权限就可以调用其中的所有方法,很危险的写法,于是有了下面的漏洞。 
最新DZ上传漏洞-Discuz NT 多版本文件上传漏洞
 
当filename和upload两个参数同时不为空时,取得input的值,并解密生成uid,然后调用UploadTempAvatar(uid)上传头像,继续跟进方法UploadTempAvatar: 
最新DZ上传漏洞-Discuz NT 多版本文件上传漏洞
 
在方法内部对上传文件的文件名进行字符串组装,其中uid是我们可以控制的,所以可以通过让uid取值为”test.asp;”,组装后的文件名是avatar_test.asp;.jpg,这样上传后的文件IIS6便会直接执行,得到webshell。 
 
实例演示: 
 
1.目标站:http://www.xxxxer.net 
 
2.伪造reference,因为ajax这个页面只对reference进行了验证。 
 
3.构造input参数的值,因为我们的目标是为uid赋值”test.asp;”,uid为input解密而来,通过默认 Passwordkey(位于/config/general.config中),对”test;.asp”加密得到input的值”Jw6IIaYanY7W0695pYVdOA==”。 
 
4.构造请求参数: 
最新DZ上传漏洞-Discuz NT 多版本文件上传漏洞
 
上传成功后会直接把shell地址回显出来, 
最新DZ上传漏洞-Discuz NT 多版本文件上传漏洞


开心洋葱 , 版权所有丨如未注明 , 均为原创丨未经授权请勿修改 , 转载请注明最新DZ上传漏洞-Discuz NT 多版本文件上传漏洞
喜欢 (0)

您必须 登录 才能发表评论!

加载中……