Discuz NT多個版本文件上傳漏洞

Discuz NT多個版本文件上傳漏洞

文章做者：rebeyond
信息來源：邪惡八進制信息安全團隊(www.eviloctal.com)

注：文章首發I.S.T.O信息安全團隊，後由原創做者友情提交到邪惡八進制信息安全團隊技術討論組。I.S.T.O版權全部，轉載需註明做者。


受影響版本：貌似都受影響。

漏洞文件:tools/ajax.aspx

 

漏洞分析:這個頁面裏的ajax請求，都沒有進行權限的驗證，遊客權限就能夠調用其中的全部方法，很危險的寫法，因而有了下面的漏洞。

 

 

當filename和upload兩個參數同時不爲空時，取得input的值，並解密生成uid，而後調用UploadTempAvatar(uid)上傳頭像，繼續跟進方法UploadTempAvatar:

 

在方法內部對上傳文件的文件名進行字符串組裝，其中uid是咱們能夠控制的，因此能夠經過讓uid取值爲」test.asp;」，組裝後的文件名是avatar_test.asp;.jpg，這樣上傳後的文件IIS6便會直接執行，獲得webshell。

實例演示：

1.      目標站：http://www.xxxxer.net

2.      僞造reference,由於ajax這個頁面只對reference進行了驗證。

3.      構造input參數的值，由於咱們的目標是爲uid賦值」test.asp;」，uid爲input解密而來，經過默認Passwordkey(位於/config/general.config中)，對」test;.asp」加密獲得input的值」Jw6IIaYanY7W0695pYVdOA==」。

4.      構造請求參數：

 

 

上傳成功後會直接把shell地址回顯出來，

 

 

成功得到webshell:

 

不過在實際測試中，有部分不能成功，懶得找緣由了，有興趣的同窗繼續研究一下吧^.^，截個官網的截圖留個念：