discuz x2-3 后台拿shell简要分析

2013-05-29 13:04:48 16 878


(discuz都x3了,你的BMW x3在哪) by fake

首先原文地址 http://www.unhonker.com/bug/1217.html
先跳过这第一步
"查看源代码打印帮助
Content-Disposition: form-data; name="settingnew[profilegroupnew][base][available]"
改为
Content-Disposition: form-data; name="settingnew[profilegroupnew][plugin][available]"
"
这个先不管
直接看/home.php?mod=spacecp&id=../../robots.txt%00

访问的是home.php 参数mod=spacecp&id=
看home.php源码

直接调用libfile函数 进入\source\module\home\home_space.php
这里x2.5跟x3有点不一样 x2.5因为没有提交ac参数,默认为profile


require_once 进入 \source\include\spacecp\spacecp_profile.php

执行到include template ,看看template函数 在\source\function\function_core.php文件

执行到checktplrefresh函数,在同一文件\source\function\function_core.php文件

进入函数后执行到parse_template函数,继续看parse_template函数,在\source\class\class_template.php

fopen打开模板,即\template\default\home\space_profile.htm

最终发现目标,至于模板执行的东西可以看参考这个网页
http://www.jb51.net/article/19712.htm
这里需要 $operation == 'plugin'
这就是第一步
Content-Disposition: form-data; name="settingnew[profilegroupnew][base][available]"
改为
Content-Disposition: form-data; name="settingnew[profilegroupnew][plugin][available]"  
的原因
具体$operation哪里来的,可以看\source\include\spacecp\spacecp_profile.php

这个$profilegroup参数受后台控制来自\source\admincp\admincp_setting.php文件
$settingnew['profilegroupnew']

最终提交id包含执行。
至于为什么要截断,是因为多了个尾巴。

Over!
有什么错误请联系http://t.qq.com/fake_wang

关于作者

评论16次

要评论?请先  登录  或  注册
  • 16楼
    2013-6-20 09:02

    哥也是那批过来的,不过限于好多原因,没进去黑产这个圈,你别去羡慕黑产的,被抓的我见过好多。进去了就知道是轻轻松松自在。

  • 15楼
    2013-6-20 06:03

    05开始 呵呵...你看过那些搞黑产的吗?现在最少都过千万了 即使加入公司的年薪都30-50w了除非你还年轻 不然╮(╯▽╰)╭作为兴趣自然不会放弃 但是时间上不能再投入更多了 所以这才是生活呀 呵呵~不过反过来说 现在行业越来越商业化 有理想的群体感觉很少了然而下一阶段目标必定会被大势所吞噬 以前那种不协调低效率的形式必定会被淘汰恐怕想要突破这些 就必须建立一个在两者之间 且互相协调的势力 我在思考呢 呵呵~当然不顾大局势 专注技术研究 其实也没什么的 可能我想多了吧所有人都在尝试他想做的一切 然而现在我发现了些其他的天赋 所以我想边思考边玩了找找灵感也是好的

  • 14楼
    2013-6-19 21:52

    @anlfi你07年的都放弃了的话我05年的怎么还在坚持 你郁闷什么

  • 13楼
    2013-6-1 19:13

    感时花溅泪…

  • 12楼
    2013-6-1 11:20

    我承认我用的是php5.3.5,嘿嘿。

  • 11楼
    2013-6-1 11:12

    学习学习

  • 10楼
    2013-5-29 19:08

    为何如此伤感

  • 9楼
    2013-5-29 16:30

    算了,能做这种分析的人多了当时我还比较谦虚 放水区想论坛里几个牛评论一下再@ 管理的感觉累了 还是去潜心学习好了有时间我会来看看的 我有预感1000帖以后 再玩下去都是无意义的 新人也越来越多 各种团体组织 如雨后春笋 各种大学举办各种活动推动事业的发展跨度有3-4年了吧07接触 从08年开始 09自学 2010的基友比较多在扯下去 就要去卖水果了 尼玛我也是从那个时候走过来的 现在身边有还几个人?被社工一次 换了3个号现在好友栏都清0了以前的号响都不响了 当时闪电还拿个自己做的xss 的教程给我看某某好像还欠我什么东西 好像谁还去写小说了 管理员改行开私服了有些还转行搞美食了 有些进安全公司当程序员了 无聊搞些外快 黑产年轻的时候你有梦想就要想办法实现有你想要的再难也要想办法得到因为当你慢慢长大你拥有的梦想和喜欢的东西 就会越来越少这就是人生 越到后面你牺牲的东西就越多 如果你不自己强大起来 就只有被磨没的命运 至少每次生日都这么提醒我自己尽管还是一个人但是还是想做我自己尽管你有矛为你去战斗 有盾能在最脆弱的时候保护你安慰你 但始终会有一天你会孤身一人 走自己的路 哪怕没有路你也要自己去创造别忘了以前的梦想与困难这是你唯一拥有的

  • 8楼
    2013-5-29 16:21

    恩恩,我跟你差不多,不过我比你多看了眼模版生成。

  • 7楼
    2013-5-29 15:30

    都是大牛,学习一下

  • 6楼
    2013-5-29 15:17

    @anlfi原来分析过了啊我都没看到

  • 5楼
    2013-5-29 14:38

    挺细心的哦。

  • 4楼
    2013-5-29 14:19

    学习的好材料

  • 3楼
    2013-5-29 14:19

    https://www.t00ls.net/thread-22944-1-1.html我没有跟 模板输出那个文件 直接到 缓存那里去看了 比较直观 有木有

  • 2楼
    2013-5-29 14:06

    php>=5.3.4无效PHP 5.3.4及以上版本永久性解决了文件名NULL字符截断问题

  • 1楼
    2013-5-29 13:49

    分析的不错,我分析时,到模板解析就快疯了