漏洞概要
关注数(24)
关注此漏洞
漏洞标题:Discuz NT多个版本文件上传漏洞
提交时间:2012-05-08 00:20
修复时间:2012-05-13 00:20
公开时间:2012-05-13 00:20
漏洞类型:文件上传导致任意代码执行
危害等级:高
自评Rank:10
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2012-05-08: 细节已通知厂商并且等待厂商处理中
2012-05-13: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
Discuz NT多个版本文件上传漏洞
文章作者:rebeyond
注:文章首发I.S.T.O信息安全团队,后由原创作者友情提交到乌云-漏洞报告平台。I.S.T.O版权所有,转载需注明作者。
详细说明:
漏洞文件:tools/ajax.aspx
漏洞分析:这个页面里的ajax请求,都没有进行权限的验证,游客权限就可以调用其中的所有方法,很危险的写法,于是有了下面的漏洞。
当filename和upload两个参数同时不为空时,取得input的值,并解密生成uid,然后调用UploadTempAvatar(uid)上传头像,继续跟进方法UploadTempAvatar:
在方法内部对上传文件的文件名进行字符串组装,其中uid是我们可以控制的,所以可以通过让uid取值为”test.asp;”,组装后的文件名是avatar_test.asp;.jpg,这样上传后的文件IIS6便会直接执行,得到webshell。
漏洞证明:
实例演示:
1. 目标站:http://www.xxxxer.net
2. 伪造reference,因为ajax这个页面只对reference进行了验证。
3. 构造input参数的值,因为我们的目标是为uid赋值”test.asp;”,uid为input解密而来,通过默认Passwordkey(位于/config/general.config中),对”test;.asp”加密得到input的值”Jw6IIaYanY7W0695pYVdOA==”。
4. 构造请求参数:
上传成功后会直接把shell地址回显出来,
成功获得webshell:
不过在实际测试中,有部分不能成功,懒得找原因了,有兴趣的同学继续研究一下吧^.^,截个官网的截图留个念:
修复方案:
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2012-05-13 00:20
厂商回复:
最新状态:
暂无
漏洞评价:
评论
-
2012-05-08 00:29 |
北北 ( 路人 | Rank:25 漏洞数:5 | 广告位招租。有阿里、万网的漏洞私信给我有...)
-
2012-05-08 00:50 |
蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)
-
2012-05-08 02:04 |
gainover 
( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)
-
2012-05-08 08:37 |
Jannock ( 核心白帽子 | Rank:2278 漏洞数:204 | 关注技术与网络安全(招人中,有兴趣请私信...)
打广告?^_^ wooyun可以考虑增加团队帐号了。嘻嘻。。。
-
2012-05-08 09:01 |
P w ( 实习白帽子 | Rank:72 漏洞数:14 | -这家伙很懒,什么都没有留下。其实我真的很...)
-
2012-05-08 09:03 |
CnCxzSec(衰仔) ( 普通白帽子 | Rank:322 漏洞数:32 | Wow~~~)
-
2012-05-08 09:03 |
CnCxzSec(衰仔) ( 普通白帽子 | Rank:322 漏洞数:32 | Wow~~~)
-
2012-05-08 09:13 |
少帅 ( 实习白帽子 | Rank:59 漏洞数:14 )
-
2012-05-08 09:49 |
松子 ( 实习白帽子 | Rank:45 漏洞数:5 | 无事)
-
2012-05-08 11:03 |
kj021320 ( 路人 | 还没有发布任何漏洞 | 法克鱿,草泥马)
-
2012-05-08 11:17 |
I_S_T_O ( 路人 | Rank:0 漏洞数:1 | I_S_T_O)
@Jannock 非专业漏洞挖掘,只能以team形式发布,这才显得不孤单 啊哈哈
-
2012-05-08 11:18 |
I_S_T_O ( 路人 | Rank:0 漏洞数:1 | I_S_T_O)
-
2012-05-08 11:24 |
saga ( 路人 | Rank:11 漏洞数:2 | 世界上只有10种人,懂二进制的,和不懂二进...)
-
2012-05-08 11:27 |
葉孒 ( 实习白帽子 | Rank:37 漏洞数:5 | 呵呵)
-
2012-05-08 11:37 |
Ra1nker ( 路人 | 还没有发布任何漏洞 | TeST)
http://whhacker.blog.51cto.com/298713/856639
-
2012-05-08 11:45 |
Jannock ( 核心白帽子 | Rank:2278 漏洞数:204 | 关注技术与网络安全(招人中,有兴趣请私信...)
其实这个并不通用,Passwordkey在正常安装时会重新生成的。估计你拿的都是用源码安装的吧。不过还有其他办法利用系统的生成。
-
2012-05-08 12:15 |
CnCxzSec(衰仔) ( 普通白帽子 | Rank:322 漏洞数:32 | Wow~~~)
@kj021320 请kj上图 ps:wooyun上懂这几个字含义的不多啊。。
-
2012-05-08 12:29 |
kj021320 ( 路人 | 还没有发布任何漏洞 | 法克鱿,草泥马)
-
2012-05-08 12:39 |
itleaf ( 普通白帽子 | Rank:140 漏洞数:17 )
-
2012-05-08 13:46 |
zeracker ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)
-
2012-05-08 15:25 |
king ( 路人 | Rank:15 漏洞数:2 | 喜爱安全,网络游戏安全应用漏洞挖掘)
这好多年前的漏洞了,100%是成功的,,不过官方貌似是不支持asp解析的!!!!
-
2012-05-08 15:27 |
king ( 路人 | Rank:15 漏洞数:2 | 喜爱安全,网络游戏安全应用漏洞挖掘)
-
2012-05-08 17:21 |
livers ( 实习白帽子 | Rank:94 漏洞数:6 | mov esp,0jmp espcrash.....)
-
2012-05-08 18:43 |
自由与精神 ( 路人 | Rank:30 漏洞数:5 | 缺乏精神力量,但我向往自由)
@Jannock 求解“不过还有其他办法利用系统的生成。”
-
2012-05-08 18:44 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
-
2012-05-08 22:56 |
ccSec ( 实习白帽子 | Rank:48 漏洞数:4 | ^^)
@Jannock 发现了利用系统的生成的办法,不过有点鸡肋,不知道找的是不是同一个点。。。
-
2012-05-09 22:03 |
自由与精神 ( 路人 | Rank:30 漏洞数:5 | 缺乏精神力量,但我向往自由)
-
2012-05-09 22:03 |
自由与精神 ( 路人 | Rank:30 漏洞数:5 | 缺乏精神力量,但我向往自由)
-
2012-05-10 09:18 |
ccSec ( 实习白帽子 | Rank:48 漏洞数:4 | ^^)
-
2012-05-13 04:08 |
0xsec ( 路人 | Rank:5 漏洞数:1 | 0xSec Team)
-
2012-05-13 06:51 |
z@cx ( 普通白帽子 | Rank:434 漏洞数:56 | 。-。-。)
-
2012-10-31 18:31 |
小胖子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)
-
2013-01-05 23:34 |
黑匣子 ( 实习白帽子 | Rank:64 漏洞数:17 | 我是一个有思想的菜鸟!)
