Discuz

Discuz! X 3.4 admincp_misc.php SQL注入漏洞

这个漏洞就是没有对输入进行过滤导致的，没啥好说的

source\admincp\admincp_misc.php 721行

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-GplAxGFu-1648783376625)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220320195756881.png)]$

复现

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-G2qrAFLd-1648783376625)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220320195657424.png)]$

Discuz ML! V3.X 代码注入漏洞

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-KQjJ4MhU-1648783376624)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220319153923305.png)]$

复现

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fyH8hwbh-1648783376624)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220319154010932.png)]$

参考链接：

https://www.anquanke.com/post/id/181887

Joomla

SESSION反序列化导致的rce

大概就是session解析时，|被认定为键名和键值的分割，导致攻击者构造特定的payload并用特殊字符截断session后面的字符串，可以控制反序列化的内容导致反序列化rce

https://www.leavesongs.com/PENETRATION/joomla-unserialize-code-execute-vulnerability.html

EmpireCMS

EmpireCMS 7.5 后台文件上传getshell（CVE-2018-18086）

这个漏洞是在上传文件时，虽然对于文件名进行了随机修改，但是后面又包含了这个文件，导致可以包含文件写shell

进入后台，点击管理数据表

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7g6bewLz-1648783376625)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220401110615785.png)]$

创建一个1.mod，内容为：

<?php file_put_contents("shell.php","<?php phpinfo(); ?>"); ?>

然后点击导入系统模块，如图

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-d4IVxyMt-1648783376626)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220401110746709.png)]$

点击马上导入

然后程序到e\admin\ecmsmod.php导入模型

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-46SGYhy7-1648783376626)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220401110854178.png)]$

跟进loadinmod函数，红框可知首先对于存放路径是根据时间随机生成，然后再2452行将上传的文件保存在path下

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YCfSYwuh-1648783376626)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220401110957734.png)]$

可以看到我们上传的文件的文件名被重新随机生成了

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1yVvltGK-1648783376626)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220401111758925.png)]$

虽然我们上传了文件并且后端会给我们以php结尾存放这个文件，但是文件名是随机生成，所以我们不知道我们上传的shell名字是什么，也就无法继续利用

但是！走到2458行的时候会包含这个文件，我们可以利用包含文件写shell来重新写一个shell，1.mod内容如下

<?php file_put_contents("shell.php","<?php phpinfo(); ?>"); ?>

包含文件后，就会在e/admin/目录下生成shell.php

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DUqEeAjO-1648783376627)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220401111859519.png)]$

内容为

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-r43rUXLs-1648783376627)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220401111917964.png)]$

访问，成功拿到phpinfo

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-oV4SqFB7-1648783376627)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220401111948977.png)]$