discuz7.2 faq.php 最新注入漏洞分析

作者: 分类: 网络安全 时间: 2014-7-3 4:49 评论: 2条评论 浏览: 8051人看过 标签: 注入漏洞 discuz

    之前乌云上被提交的漏洞,今天突然被人发出来了,然后就各种中枪。奈何各种考试马上就来了,我也没工夫去写exp或脚本什么的,趁点休息时间把代码看看就好。实话说我很讨厌这种情况,一大堆人会的不会的拿着别人发的exp刷漏洞,刷分刷钱。不如静下心来分析一下漏洞产生的原因,也算是我吃不到葡萄在说葡萄酸吧,笑。

    因为有同学给出POC了,POC如下:

    http://www.xxx.com/faq.php?action=grouppermission&gids[99]='&gids[100][0]=) and (select 1 from (select count(*),concat(version(),floor(rand(0)*2))x from information_schema
.tables group by x)a)%23

    QQ图片20140703092618.jpg
    

&n...

阅读全文>>

discuz附件免费下载器

作者: 分类: 资源分享 时间: 2014-3-9 1:34 评论: 7条评论 浏览: 11035人看过 标签: discuz 平衡权限

    最近关注的一个discuz平衡权限漏洞,可以绕过附件下载权限达到免费下载附件的目的。于是,自己用C#开发了一个小程序,给大家编译好的exe文件供参考。

    0x01 原理解析

    附件的url类似于这样 http://sb.f4ck.org/forum.php?mod=attachment&aid=MjMzMDZ8MDY4OTkzN2Z8MTM5NDI5OTk2MHwzNTUwfDEyMTgx,aid是一个base64编码过的字符串,其中包含了你的uid。我们只需要把这个uid替换成管理员的uid,就能轻松绕过权限控制,直接下载附件了。

    0x02 使用方法参考

    01.找到要下载的附件,右键属性,拷贝其url:

    001.jpg

    02.粘贴进软件中。这个时候请注意了,其中要填写一个uid,这个uid默认为1。这个uid代表着你用哪个用户的身...

阅读全文>>

Discuz the user traversal Poc

作者: 分类: Python 时间: 2014-1-26 10:07 评论: 2条评论 浏览: 11992人看过 标签: discuz


看到网上某篇文章,突然想起自己还有几篇没有发到博客上,于是发一下。

0x01 从discuz能遍历用户资料的问题谈起

我们随便点进一个discuz论坛,在地址后面加?1,有的论坛就会显示uid=1的用户资料页(或是家园空间首页,取决于这个论坛有没有开通家园):
 01.jpg
不过有些论坛(比如法客)没有这个的,可能是哪里修改了。
不过我们访问 home.php?mod=space&uid=3550&do=profile 还是能看到 uid = 3550的用户资料的:
02.jpg
而且,这个地址是没有登录限制的,也就是说未登录的用户也能看这个资料页面。而且好像后台是不能增加这个限制的,必须要改代码。
这对于一些私密性比较高的论坛就构成了很大的威胁,这个问题就类似于wordpress的用户名遍历问题一样,获得了你的用户名,就能爆破你的密码了。
于是,我们设想,从uid=1到uid=XXX,写个脚本遍历一下,就能够获得这个论坛所有注册用户的用户名。不管你是不是这个论坛的用户。

0x02 python脚本的编写
我之前写了一个单线程的,但速度实在不敢恭维,所以后来改成多线程。多线程速度...

阅读全文>>

Top ↑ sitemap More