当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-064106

漏洞标题:Discuz后台文件包含漏洞

相关厂商:Discuz!

漏洞作者: Net4ky

提交时间:2014-06-08 22:33

修复时间:2014-09-06 22:34

公开时间:2014-09-06 22:34

漏洞类型:命令执行

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-06-08: 细节已通知厂商并且等待厂商处理中
2014-06-09: 厂商已经确认,细节仅向厂商公开
2014-06-12: 细节向第三方安全合作伙伴开放
2014-08-03: 细节向核心白帽子及相关领域专家公开
2014-08-13: 细节向普通白帽子公开
2014-08-23: 细节向实习白帽子公开
2014-09-06: 细节向公众公开

简要描述:

wooyun还是不错的 so 我又来了 要是被通用性漏洞奖励看中了就好了

详细说明:

漏洞函数在文件source\module\misc\misc_seccode.php下面
请看代码
这段代码粗略一看没什么利用条件“./source/plugin/'.$etype[0].'/seccode/seccode_'.$etype[1].'.php'”但是 我们把其中的/seccode/seccode_这个变成文件夹 不就Ok了嘛

if(!is_numeric($_G['setting']['seccodedata']['type'])) {
			$etype = explode(':', $_G['setting']['seccodedata']['type']);
			if(count($etype) > 1) {
				$codefile = DISCUZ_ROOT.'./source/plugin/'.$etype[0].'/seccode/seccode_'.$etype[1].'.php';
				$class = $etype[1];
			} else {
				$codefile = libfile('seccode/'.$_G['setting']['seccodedata']['type'], 'class');
				$class = $_G['setting']['seccodedata']['type'];
			}
			if(file_exists($codefile)) {
				@include_once $codefile;


1.jpg


生成一下
然后这个文件夹/seccode/seccode_就在你的根目录下面躺着
接下来构造exp

2.jpg


但是这点击提交没用 都变成了数字型 所以我们换张表单

3.jpg


更改表的name值 点击提交

漏洞证明:

4.jpg

修复方案:

呵呵~~~~~~~~~~~~~

版权声明:转载请注明来源 Net4ky@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-06-09 10:05

厂商回复:

唉。都是生成html惹的祸。以前dz门户没有这个功能的时候,没这么多问题。感谢您提供的信息,我们尽快处理

最新状态:

暂无

漏洞评价:

评论

  1. 2014-06-08 22:49 | YouYaX(乌云厂商)

    4号才发布3.2,没想到8号……

  2. 2014-06-08 22:52 | xiaoL ( 普通白帽子 | Rank:361 漏洞数:67 | PKAV技术宅社区!Blog:http://www.xlixli....)

    不会是之前看到的那个吧- -

  3. 2014-06-08 23:01 | s0mun5 认证白帽子 ( 普通白帽子 | Rank:493 漏洞数:24 | .)

    app?

  4. 2014-06-08 23:09 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    那么给力?

  5. 2014-06-09 07:39 | Debug0man ( 路人 | Rank:8 漏洞数:1 | 叽叽呗呗...)

    3.2的命好苦

  6. 2014-06-09 10:11 | 小杰 ( 路人 | Rank:4 漏洞数:1 | 低调的一个人)

    洞主,裤子都脱了你就给我看这个?说好的前台getshell呢?

  7. 2014-06-09 20:02 | 喷嚏 ( 路人 | Rank:4 漏洞数:2 | 成与败;是与否,一切归功于自己!)

    mark

  8. 2014-06-12 10:34 | 帅爆的小烬烬 ( 路人 | Rank:30 漏洞数:25 | 路上有个漂亮妹子和我搭讪,知道我赶着去挖...)

    后排出售优乐美,杯子连起来可绕DZ公司n圈

  9. 2014-06-29 10:33 | ′ 雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

    我没看错的话这就只能包含php文件把?有什么用呢?

  10. 2014-06-29 12:12 | 从容 ( 普通白帽子 | Rank:221 漏洞数:75 | Enjoy Hacking Just Because It's Fun :) ...)

    为什么YouYaX厂商总出现在Discuz漏洞的评论里?

  11. 2014-06-30 09:15 | 铁蛋火车侠 ( 普通白帽子 | Rank:156 漏洞数:31 | Q群371620085 技术交流群 有漂亮妹纸!)

    mark

  12. 2014-06-30 09:48 | YouYaX(乌云厂商)

    @从容 你错了,我出现在很多地方~最近程序不更新,就很少来了

  13. 2014-06-30 10:35 | 从容 ( 普通白帽子 | Rank:221 漏洞数:75 | Enjoy Hacking Just Because It's Fun :) ...)

    @YouYaX 要不你也去挖洞吧~

  14. 2014-06-30 15:14 | 计算姬 ( 普通白帽子 | Rank:398 漏洞数:90 | 看我看我看我啊)

    @从容 其实厂商号被我盗了,是我回的。

  15. 2014-09-07 18:25 | sutdy ( 普通白帽子 | Rank:101 漏洞数:33 | 0.0)

    @从容 其实厂商号被我盗了,是我回的