Discuz后台文件包含漏洞

2014-06-08T00:00:00
ID SSV:93591
Type seebug
Reporter Root
Modified 2014-06-08T00:00:00

Description

简要描述:

wooyun还是不错的 so 我又来了 要是被通用性漏洞奖励看中了就好了

详细说明:

漏洞函数在文件source\module\misc\misc_seccode.php下面 请看代码 这段代码粗略一看没什么利用条件“./source/plugin/'.$etype[0].'/seccode/seccode_'.$etype[1].'.php'”但是 我们把其中的/seccode/seccode_这个变成文件夹 不就Ok了嘛

if(!is_numeric($_G['setting']['seccodedata']['type'])) { $etype = explode(':', $_G['setting']['seccodedata']['type']); if(count($etype) > 1) { $codefile = DISCUZ_ROOT.'./source/plugin/'.$etype[0].'/seccode/seccode_'.$etype[1].'.php'; $class = $etype[1]; } else { $codefile = libfile('seccode/'.$_G['setting']['seccodedata']['type'], 'class'); $class = $_G['setting']['seccodedata']['type']; } if(file_exists($codefile)) { @include_once $codefile;

<img src="https://images.seebug.org/upload/201406/08200858fffb2db89b0f4465b5d683cf8b080d88.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">

生成一下 然后这个文件夹/seccode/seccode_就在你的根目录下面躺着 接下来构造exp

<img src="https://images.seebug.org/upload/201406/08201342aa11a76fb0dfcd84fcab5d045193ea09.jpg" alt="2.jpg" width="600" onerror="javascript:errimg(this);">

但是这点击提交没用 都变成了数字型 所以我们换张表单

<img src="https://images.seebug.org/upload/201406/0820165097cddc2a25b272377e2e3dacb63b078e.jpg" alt="3.jpg" width="600" onerror="javascript:errimg(this);">

更改表的name值 点击提交

漏洞证明:

<img src="https://images.seebug.org/upload/201406/08201807e14ab41a1781c59472b82517b17d524f.jpg" alt="4.jpg" width="600" onerror="javascript:errimg(this);">