当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-064106

漏洞标题:Discuz后台文件包含漏洞

相关厂商:Discuz!

漏洞作者: Net4ky

提交时间:2014-06-08 22:33

修复时间:2014-09-06 22:34

公开时间:2014-09-06 22:34

漏洞类型:命令执行

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-06-08: 细节已通知厂商并且等待厂商处理中
2014-06-09: 厂商已经确认,细节仅向厂商公开
2014-06-12: 细节向第三方安全合作伙伴开放
2014-08-03: 细节向核心白帽子及相关领域专家公开
2014-08-13: 细节向普通白帽子公开
2014-08-23: 细节向实习白帽子公开
2014-09-06: 细节向公众公开

简要描述:

wooyun还是不错的 so 我又来了 要是被通用性漏洞奖励看中了就好了

详细说明:

漏洞函数在文件source\module\misc\misc_seccode.php下面
请看代码
这段代码粗略一看没什么利用条件“./source/plugin/'.$etype[0].'/seccode/seccode_'.$etype[1].'.php'”但是 我们把其中的/seccode/seccode_这个变成文件夹 不就Ok了嘛

if(!is_numeric($_G['setting']['seccodedata']['type'])) {
			$etype = explode(':', $_G['setting']['seccodedata']['type']);
			if(count($etype) > 1) {
				$codefile = DISCUZ_ROOT.'./source/plugin/'.$etype[0].'/seccode/seccode_'.$etype[1].'.php';
				$class = $etype[1];
			} else {
				$codefile = libfile('seccode/'.$_G['setting']['seccodedata']['type'], 'class');
				$class = $_G['setting']['seccodedata']['type'];
			}
			if(file_exists($codefile)) {
				@include_once $codefile;


1.jpg


生成一下
然后这个文件夹/seccode/seccode_就在你的根目录下面躺着
接下来构造exp

2.jpg


但是这点击提交没用 都变成了数字型 所以我们换张表单

3.jpg


更改表的name值 点击提交

漏洞证明:

4.jpg

修复方案:

呵呵~~~~~~~~~~~~~

版权声明:转载请注明来源 Net4ky@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-06-09 10:05

厂商回复:

唉。都是生成html惹的祸。以前dz门户没有这个功能的时候,没这么多问题。感谢您提供的信息,我们尽快处理

最新状态:

暂无