Discuz NT 多个版本文件上传漏洞
来源:互联网 发布:源码编译内核配置 编辑:程序博客网 时间:2024/06/05 21:23
文章作者:rebeyond
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
注:文章首发I.S.T.O信息安全团队,后由原创作者友情提交到邪恶八进制信息安全团队技术讨论组。I.S.T.O版权所有,转载需注明作者。
受影响版本:貌似都受影响。
漏洞文件:tools/ajax.aspx
漏洞分析:这个页面里的ajax请求,都没有进行权限的验证,游客权限就可以调用其中的所有方法,很危险的写法,于是有了下面的漏洞。
当filename和upload两个参数同时不为空时,取得input的值,并解密生成uid,然后调用UploadTempAvatar(uid)上传头像,继续跟进方法UploadTempAvatar:
在方法内部对上传文件的文件名进行字符串组装,其中uid是我们可以控制的,所以可以通过让uid取值为”test.asp;”,组装后的文件名是avatar_test.asp;.jpg,这样上传后的文件IIS6便会直接执行,得到webshell。
实例演示:
1.目标站:http://www.xxxxer.net
2.伪造reference,因为ajax这个页面只对reference进行了验证。
3.构造input参数的值,因为我们的目标是为uid赋值”test.asp;”,uid为input解密而来,通过默认Passwordkey(位于/config/general.config中),对”test;.asp”加密得到input的值”Jw6IIaYanY7W0695pYVdOA==”。
4.构造请求参数:
上传成功后会直接把shell地址回显出来,
成功获得webshell:
不过在实际测试中,有部分不能成功,懒得找原因了,有兴趣的同学继续研究一下吧^.^,截个官网的截图留个念:
- Discuz NT 多个版本文件上传漏洞
- Discuz全版本任意文件删除漏洞
- Discuz!NT 3.0 SQL注入漏洞
- Discuz!NT
- Wolf CMS 新旧两个版本中的文件上传漏洞分析
- 上传文件漏洞&解析漏洞
- Discuz NT 安装(2.6.1.access版本,安装到子目录)
- discuz !nt 3.5版本 安装过程中的一些解决方案
- 文件上传漏洞
- 文件上传漏洞
- 文件上传漏洞
- 文件上传漏洞
- 文件上传漏洞
- 文件上传漏洞
- 文件上上传漏洞
- 11. 文件上传漏洞
- 网站上传文件漏洞
- 文件上传漏洞
- 非模态对话框相对于模态对话框,他的创建和销毁过程和模态对话框有一定的区别
- AD7879-I2C touchscreen 中事件的处理过程
- 找出1到10w中没有出现的两个数字
- Android系统Recovery工作原理2---update.zip差分包问题的解决
- Uri取用raw資源
- Discuz NT 多个版本文件上传漏洞
- Linux页表机制初始化
- 深抠参数sga_target
- Why and How to Use Netlink Socket
- 解释Windows7“上帝模式”的原理
- ashx中使用Session问题
- java文件操作大全
- atveuve
- NSUserDefaults的应用和特点