Discuz NT多个版本文件上传漏洞
Discuz NT多个版本文件上传漏洞web
文章做者:rebeyond
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
注:文章首发I.S.T.O信息安全团队,后由原创做者友情提交到邪恶八进制信息安全团队技术讨论组。I.S.T.O版权全部,转载需注明做者。
受影响版本:貌似都受影响。ajax
漏洞文件:tools/ajax.aspxshell
漏洞分析:这个页面里的ajax请求,都没有进行权限的验证,游客权限就能够调用其中的全部方法,很危险的写法,因而有了下面的漏洞。安全
当filename和upload两个参数同时不为空时,取得input的值,并解密生成uid,而后调用UploadTempAvatar(uid)上传头像,继续跟进方法UploadTempAvatar:ide
在方法内部对上传文件的文件名进行字符串组装,其中uid是咱们能够控制的,因此能够经过让uid取值为”test.asp;”,组装后的文件名是avatar_test.asp;.jpg,这样上传后的文件IIS6便会直接执行,获得webshell。测试
实例演示:ui
1. 目标站:http://www.xxxxer.net加密
2. 伪造reference,由于ajax这个页面只对reference进行了验证。spa
3. 构造input参数的值,由于咱们的目标是为uid赋值”test.asp;”,uid为input解密而来,经过默认Passwordkey(位于/config/general.config中),对”test;.asp”加密获得input的值”Jw6IIaYanY7W0695pYVdOA==”。.net
4. 构造请求参数:
上传成功后会直接把shell地址回显出来,
成功得到webshell:
不过在实际测试中,有部分不能成功,懒得找缘由了,有兴趣的同窗继续研究一下吧^.^,截个官网的截图留个念:
