当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-035194

漏洞标题:Discuz! 再次绕过安全密码安装插件

相关厂商:Discuz!

漏洞作者: 江南的鱼

提交时间:2013-08-25 17:13

修复时间:2013-11-23 17:14

公开时间:2013-11-23 17:14

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-08-25: 细节已通知厂商并且等待厂商处理中
2013-08-26: 厂商已经确认,细节仅向厂商公开
2013-08-29: 细节向第三方安全合作伙伴开放
2013-10-20: 细节向核心白帽子及相关领域专家公开
2013-10-30: 细节向普通白帽子公开
2013-11-09: 细节向实习白帽子公开
2013-11-23: 细节向公众公开

简要描述:

第一版的绕过安全密码装插件:http://www.wooyun.org/bugs/wooyun-2013-032644
第一版后台拿shell:利用插件拿Discuz!论坛shell的文章http://zone.wooyun.org/content/5275
第二版:Discuz! 后台第三方插件上传任意后缀文件,拿shell, 还未审核
今天谈的是第二版绕过安全密码装插件。

详细说明:

Discuz!应用中心,会员忘记密码找回,出现了逻辑问题,并没有验证URL是否为当前用户所有,从而造成了会员密码更改,继而安装插件,最终可后台拿webshell。
利用条件: 自己有一个webshell 。
原理:将下载的 校验文件 addonreset.txt 上传到自己 WEBSHELL的网站根目录, 网站URL里面写 webshell的目录,然后验证,然后更改密码,再然后用更改的密码安装插件!
图解实现过程:
1.登陆论坛后台,【应用】-->【应用中心】-->【 网站信息】-->【修改密码】

1.jpg


2. 点击【忘记密码】,网站 URL: 写自己webshell的网址【或者自己的网站网址】,然后将校验文件 addonreset.txt,下载下来,放到webshell的根目录下

2.jpg


3. 点击【校验】,会出现校验成功,这就是有意思的地方,没有对URL做任何判断。

3.jpg


4. 输入我们自己的密码.

4.jpg


5.来装个插件验证下.

8.jpg


配合插件任意文件上传,完美拿shell!

漏洞证明:

yz.jpg


成功更改安全密码

修复方案:

你们更专业

版权声明:转载请注明来源 江南的鱼@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:4

确认时间:2013-08-26 09:49

厂商回复:

已经修复,谢谢!

最新状态:

暂无