记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Discuz3.2拿shell致命弱口令导致被托数据库

首先呢,这是一个“那种”(贷款,p2p)站·····,为了不知死活的小伙儿瞎搞把我也牵连了,我还是打码吧! 踩点: 习惯性的看看admin 没戏,但是我把Empty Action 非法操作,请与管理员联系放到了搜索引擎,想尝试可否能够找到程序下载分析一下 可以直接搜索出来,有很多关于金融/贷款这种网站的admin都会出现这个。(大家可以试试) 那么到了这里,找到程序不现实,另一方面也是内心有所逃避,能简单的事情尽量不麻烦 再次回到目标站点,哟和,还有个社区 地址是这个样子的http://www.xxxx.cn/bbs/forum.php,我想我明白了什么,从前台就能看出是Discuz的。那么再次admin就是上图了。 思考与分析,制定作战计划 1.枚举后台可能存在的弱口令 2.利用社工库(我的库可是数
发布时间:2015-12-03 16:25 | 阅读:88655 | 评论:0 | 标签:圈内纪实 安全播报 黑客在线 黑客工具 Discuz3.2 弱口令 discuz

Discuz3.2拿shell 致命弱口令导致被托数据库

首先呢,这是一个“那种”(贷款,p2p)站·····,为了不知死活的小伙儿瞎搞把我也牵连了,我还是打码吧! 踩点: 习惯性的看看admin 没戏,但是我把Empty Action 非法操作,请与管理员联系放到了搜索引擎,想尝试可否能够找到程序下载分析一下 可以直接搜索出来,有很多关于金融/贷款这种网站的admin都会出现这个。(大家可以试试) 那么到了这里,找到程序不现实,另一方面也是内心有所逃避,能简单的事情尽量不麻烦 再次回到目标站点,哟和,还有个社区 地址是这个样子的http://www.xxxx.cn/bbs/forum.php,我想我明白了什么,从前台就能看出是Discuz的。那么再次admin就是上图了。 思考与分析,制定作战计划 1.枚举后台可能存在的弱口令 2.利用社工库(我的库可是数
发布时间:2015-12-03 02:40 | 阅读:74008 | 评论:0 | 标签:核心专栏 渗透测试 discuz

Discuz利用UC_KEY进行前台getshell2

apiuc.phpcode 区域function updatebadwords($get, $post) { global $_G; if(!API_UPDATEBADWORDS) { return API_RETURN_FORBIDDEN; } $data = array(); if(is_array($post)) { foreach($post as $k => $v) { $data['findpattern'][$k] = $v['findpattern']; $data['replace'][$k] = $v['replacement']; } } $cachefile
发布时间:2015-11-29 13:20 | 阅读:234692 | 评论:0 | 标签:discuz

discuz某插件设计缺陷可前台getshell

#插件信息: http://addon.discuz.com/?@dc_mall.plugin 官方安装量3000+ (已经不少了吧) #测试环境: PHP 版本为: 5.2.9-2 magic_quotes_gpc = off dc_mall.inc.php(漏洞文件) <?php if(!defined('IN_DISCUZ')) { exit('Access Denied'); } $_lang = lang('plugin/dc_mall'); $action = $_GET['action'] ? $_GET['action'] : 'index'; $version ='Ver 1.1.1'; $cvar = $_G['cache']['plugin
发布时间:2015-10-05 22:10 | 阅读:100083 | 评论:0 | 标签:PHP disucz discuz

Discuz! x2,x2.5,x3.0,x3.1,x3.2 某插件XSS直打管理员

Discuz!论坛有很大一部分的用户用了友情链接自助申请。问题就在这里。 提交都是没有过滤的 提交界面都这幅模样,添加xss代码。 提交,坐等管理员审核。 (自己模拟管理员点了一下)cookie就来了,一下子来三段……cookie,浏览器保存的明文密码。 虽然我模拟的是有点小特殊的环境,但是不代表所有的管理员都不会不在浏览器上保存明文密码。这明文密码要是获取了……就可以进行拿shell了,分分钟的事了.以下插件就是此次的问题插件了。下载次数加起来已经过万了。支持版本在x2 – x3.2都有 http://addon.discuz.com/?@heyong_flink.plugin http://addon.discuz.com/?@wikin_links.plugin http://addon
发布时间:2015-10-04 00:40 | 阅读:97853 | 评论:0 | 标签:PHP discuz xss

Discuz全版本存储型DOM XSS(可打管理员)附Discuz官方开发4大坑&验证脚本

Discuz官方开发4大坑: 1.发的补丁和diff官方最新版本安装包的结果不一定相同(导致后台升级,手动更新后已经在新版本修了的漏洞还在) 2.发补丁不发修复点的公告(导致二次开发的站考虑到兼容性不愿第一时间更新) 3.在线上改代码修漏洞却不发补丁 4.发补丁,发新版本安装包的时间,论坛发补丁帖的时间不一致,参见:http://download.comsenz.com/DiscuzX/3.2/ http://www.discuz.net/forum-10-1.html Discuz编辑器JS处理不当导致的存储型XSS。 产生原因: JS原生取ELEMENT中HTML内容的方法,会将服务端转义过的单双引号实体编码进行反转。 代码分析: 这里用最新版本本地测payload为:[align=”onmou
发布时间:2015-08-17 18:50 | 阅读:110271 | 评论:0 | 标签:PHP discuz全版本XSS disucz xss discuz

Discuz! X系列远程代码执行漏洞分析

0x00 漏洞概述 上周有一个朋友问我有没有办法在知道uc的appkey的情况下getshell,刚好我在原来看discuz代码时曾经有过几个相关的想法,但是一直没有仔细去看,接着这个机会去看了下,果然有个很好玩的代码执行漏洞。 0x01 漏洞根源 这个问题的根源在于api/uc.php文件中的updatebadwords方法,代码如下: function updatebadwords($get, $post) { global $_G; if(!API_UPDATEBADWORDS) { return API_RETURN_FORBIDDEN; } $data = array(); if(is_ar
发布时间:2015-08-10 21:55 | 阅读:65654 | 评论:0 | 标签:漏洞分析 漏洞 discuz

Discuz!后台秒getshell(第三方安全问题)

最近github各种Discuz后台弱口令,于是自己下载了一个discuzx3.2应该是最新版了,后台各种找啊,没找到bug,就在要放弃的时候,一个插件,起死回生。 漏洞证明: 1.后台找到应用,插件2.有一个好贷站长联盟3.安装之后有一个导入接口信息4.然后导入接口信息5.接口信息会放到这里6.然后就shell了 修复方案: @疯狗,提交个漏洞都能出现这g
发布时间:2015-08-10 04:20 | 阅读:115458 | 评论:0 | 标签:discuz

Discuz X3.2 论坛逻辑漏洞可绕过支付虚拟币查看帖子内敏感内容

No code(未写爬虫代码,因为还有更简单利用方式)利用方式就是用Tools,模拟的搜索引擎针对国内社工库论坛,绕过金币提取内部分析的网盘链接,看漏洞证明! 漏洞证明: 被利用例子:http://www.cnse.pro/forum.php?mod=viewthread&tid=33&extra=page%3D1参与利用工具(Tools工具):http://s.tool.chinaz.com/tools/robot.aspxcode 区域原理:改User-Agent为:User-Agent: Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)模拟蜘蛛截图
发布时间:2015-06-10 02:45 | 阅读:723973 | 评论:0 | 标签:漏洞 discuz

Discuz!3.0-3.2版本的通杀xss存储漏洞(需开始直播功能)

小白不会审计代码~然后咱们就直接进入主题吧~!discuz3.0-3.2有个功能叫直播的。实习版主就能开启哈~接着咱们就用admin帐号先把一个帖子弄成直播!接着。我们用新注册的用户。。咳咳。得等两分钟。再能发话哈~然后用等待的时间去进行弄exp弄成base16的~点击发表呵呵。弹窗了 漏洞证明: 来。接着discuz 3.1版本测试code 区域discuz 3.2版本测试code 区域exp:code 区域x22x3ex3cx2fx73x63x72x69x70x74x3ex3cx69x66x72x61x6dx65x2fx6fx6ex6cx6fx61x64x3dx61x6cx65x72x74x28x31x29x3e 修复方案: 编码问题。。。
发布时间:2015-06-09 12:10 | 阅读:100864 | 评论:0 | 标签:xss 漏洞 discuz

Discuz问卷调查专业版插件注入

nds_ques_viewanswer.inc.php <?PHP if(!defined('IN_DISCUZ')) { exit('Access Denied'); } !empty($_G['gp_srchtxt'])? $wherestr .= " AND author = '".dhtmlspecialchars(trim(substr($_GET['srchtxt'],0,20)))."' " :'' ; $orderby = $_G['gp_orderby']? $_G['gp_orderby']:'dateline';//获取参数 $imes = $_G['gp_imes']? $_G['gp_imes']:'DESC';
发布时间:2015-06-06 20:05 | 阅读:70125 | 评论:0 | 标签:PHP discuz 问卷调查 注入

Discuz的一处越权操作,强制回复无权限帖子

合购vip  等教程论坛  都用的是Discuz看操作步骤:随便找一处vip教程接下来 我们审查元素找到这段代码  然后修改<a href="http://xxx.xxx.xxx/forum.php?mod=post&amp;action=reply&amp;fid=170&amp;tid=9310" onclick="showWindow('reply', this.href)">回复</a>xxx.xxxx.xx代表该论坛的网址合购vip  就用<a href="http://www.hegouvip.com/forum.php?mod=post&amp;action=reply&
发布时间:2015-04-24 22:20 | 阅读:101312 | 评论:0 | 标签:discuz

DiscuzX系列命令执行分析公开(三连弹)

0x00 漏洞概要 昨天360补天发了这样的一条微博: 然后打听了一下细节,发现居然是我13年7月报给TSRC的漏洞,看今天大家玩的挺开心,与TSRC的人聊了两句,说这个系列可以发几个了,所以我也来凑个热闹,把原来的分析发出来给大家看一下(这里做个广告,TSRC提交Discuz的漏洞,奖品棒棒哒~~)。这个漏洞原来我是作为前台命令执行发个TSRC的,虽然有限制,但是个人感觉还是不错的。只发一个怕各位不过瘾,就再来一发这个点比较直观的后台命令执行和绕过前台命令执行的修复。原TSRC上的漏洞标题是《Discuz! X系列远程命令执行漏洞(二)》、《Discuz! X系列远程命令执行漏洞(三)》和《Discuz! X系列远程命令执行漏洞(四)》。 下面是原漏洞报告的概要部分: “腾讯旗下Discuz! X系列
发布时间:2015-01-16 01:00 | 阅读:68142 | 评论:0 | 标签:漏洞分析 discuz

Discuz!旗下产品统一存在一个csrf+sql批量执行风险(dz3.x,dz7.x,SupeSite7.x等等)

今天看dz的SupeSite7.x产品的时候,发现一个dz统一存在的脱裤风险:直接看代码,我们在做数据库还原的时候,抓到一个链接:http://192.168.10.70/SupeSite7.5_SC_UTF8/upload//admincp.php?action=database&op=importstart&do=import&datafile=./backup_OpVKpM/140928_0Idz28GO-1.sql这个链接的意思就是从某一个文件然后读取sql语句,进行还原那么我们来分析一下代码:admin_databases.php:(457-483):code 区域elseif($op == 'importstart') {$do = postget(�
发布时间:2014-12-24 15:20 | 阅读:52878 | 评论:0 | 标签:CSRF discuz

盛大游戏某站点Discuz报错注入漏洞(未彻底修复)

注入点:code 区域http://sns.kart.sdo.com/home/kartAchieve.php?chjType=special&do=special&filterType=(select 123 from (select count(*),concat(user(),floor(rand()*2))x from information_schema.tables group by x limit 1)y)&uid=13169Error: Duplicate entry 'sns@localhost1' for key 1参数filterType未过滤 漏洞证明:Current DB: kartsnshome所有库:code 区域information_
发布时间:2014-12-23 20:40 | 阅读:54703 | 评论:0 | 标签:注入 漏洞 discuz

乐视某Discuz论坛MySQL报错注入

uid可以注入:code 区域http://game.letv.com/bbs/space-uid-(select(1)from(select count(*), concat(floor(rand(0)*2),0x5e5e5e,user()) x from information_schema.character_sets group by x)y).htmlError: Duplicate entry '1^^^letv@10.140.202.203' for key 'group_key' 漏洞证明:数据库: code 区域letv_forumletv_activityletv_cardletv_cmsletv_factory_pageletv_intranetl
发布时间:2014-12-19 23:20 | 阅读:48052 | 评论:0 | 标签:注入 discuz

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云