您的位置 » 首页 » 实用工具 » Discuz NT 多版本文件上传漏洞

Discuz NT 多版本文件上传漏洞

发表于5年前 | 作者: seay | 分类: 实用工具 | 孵化于:2012年06月25日 | 文章热度:7,218 次 全屏阅读

显示不全请点击全屏阅读

文章作者:rebeyond 
信息来源:邪恶八进制信息安全团队(www.eviloctal.com) 
注:文章首发I.S.T.O信息安全团队,后由原创作者友情提交到邪恶八进制信息安全团队技术讨论组。I.S.T.O版权所有,转载需注明作者。 
受影响版本:貌似都受影响。 
漏洞文件:tools/ajax.aspx 
漏洞分析:这个页面里的ajax请求,都没有进行权限的验证,游客权限就可以调用其中的所有方法,很危险的写法,于是有了下面的漏洞。 
当filename和upload两个参数同时不为空时,取得input的值,并解密生成uid,然后调用UploadTempAvatar(uid)上传头像,继续跟进方法UploadTempAvatar: 
在方法内部对上传文件的文件名进行字符串组装,其中uid是我们可以控制的,所以可以通过让uid取值为”test.asp;”,组装后的文件名是avatar_test.asp;.jpg,这样上传后的文件IIS6便会直接执行,得到webshell。 
实例演示: 
1.目标站:http://www.xxxxer.net 
2.伪造reference,因为ajax这个页面只对reference进行了验证。 
3.构造input参数的值,因为我们的目标是为uid赋值”test.asp;”,uid为input解密而来,通过默认Passwordkey(位于/config/general.config中),对”test;.asp”加密得到input的值”Jw6IIaYanY7W0695pYVdOA==”。 
4.构造请求参数: 
上传成功后会直接把shell地址回显出来, 

Tags:

0day,

如果您喜欢我的博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容: 也可以点击链接【订阅到鲜果】

如果我的想法或工具帮助到了你,也可微信扫下方二维码打赏本人一杯咖啡


来自 Seay互联网安全博客
本文地址:http://www.cnseay.com/381/
文章版权说明请看置顶文章,尊重作者,转载请以链接形式标明原文地址

马上分享给你的朋友吧~

发表评论

你的大名(必填)

你的邮箱(必填)

评论内容(必填)