Discuz7.4漏洞，Discuz渗透

当前目录列表：

1、怎么检测Discuz论坛是否存在刷积分漏洞

2、怎么修复DISCUZ论坛附件下载的一个漏洞，可以免费下载收费附件？

3、Discuz 3.4漏洞

4、Discuz!6.0.0漏洞

5、Discuz在线时间漏洞

6、【漏洞分析】Discuz！

怎么检测Discuz论坛是否存在刷积分漏洞

1、新建一个任务，就选择红包类任务吧

2、此时千万不要申请任务，而是进入任务详细页面，完成之后就不能刷了

home.php?mod=taskdo=viewid=2

这样就能看到任务详情了，任务的奖励是 威望+1。

我们把地址改为领取任务奖励

home.php?mod=taskdo=drawid=2

打开这个地址，获得了 威望+1。

不断刷新这个页面，即可不断获得奖励。

怎么修复DISCUZ论坛附件下载的一个漏洞，可以免费下载收费附件？

呵呵,看样子你是个新手,5D6D免费论坛还是比较不错的,造成这样的原因是你用的是你自己管理的ID当然可以看到,你也可以自己在你的论坛里注册几个ID,比如会员,VIP版主之类的级别,先把自己设置的相关权限统统测试一下,我用5D6D的论坛快一年了,还是比较稳定的!我现在论坛里也有一些测试过的7.0代码.可以来看看,相信对你有帮助!你可以直接打开FBA个人DJ舞曲网,

Discuz 3.4漏洞

网上内容

首先在目录里建立test.txt

然后，获取formhash：7b2bf0ce

于是可以构建payload：

然后上传文件，就可以删除这个test.txt了

我们来看下源码，这里主要是spacecp_profile.php的问题

首先，我们从漏洞出发，我们先从删除函数开始：

可以看到，这个要求formtype是file，就会触发unlink

我们发现这次改动的228行有 @unlink，getglobal('setting/attachdir'.'./profile/'.$space[$key]); ，也就是这次漏洞所在，我们看看语句成立的条件

也就是上传文件，那么现在就是看看这个 $space[$key] 了，回溯下变量，我们发现，key是可以被payload里的用户资料所操作的，我们看下payload里用的 birthprovince ，

可以看到这个就可以控制 $space[$key] ,而且没有什么限制，而一切的条件就是70行的 if，submitcheck('profilesubmit') { 所以，我们的payload会有profilesubmit=1

Discuz!6.0.0漏洞

____Discuz6.0__________injection __0day

// 允许程序在 register_globals = off 的环境下工作

$onoff = ，function_exists('ini_get') ? ini_get，'register_globals' : get_cfg_var，'register_globals';

if ，$onoff != 1 {

@extract，$_POST, EXTR_SKIP;

@extract，$_GET, EXTR_SKIP;

}

$self = $_SERVER['PHP_SELF'];

$dis_func = get_cfg_var，"disable_functions";

/*===================== 身份验证 =====================*/

if，$admin['check'] == "1" {

if ，$_GET['action'] == "logout" {

setcookie ，"adminpass", "";

echo "meta http-equiv=\"refresh\" content=\"3;URL=".$self."\"";

echo "span style=\"font-size: 12px; font-family: Verdana\"注销成功......pa href=\"".$self."\"三秒后自动退出或单击这里退出程序界面 /a/span";

exit;

}

if ，$_POST['do'] == 'login' {

$thepass=trim，$_POST['adminpass'];

if ，$admin['pass'] == $thepass {

setcookie ，"adminpass",$thepass,time(+，1*24*3600);

echo "meta http-equiv=\"refresh\" content=\"3;URL=".$self."\"";

echo "span style=\"font-size: 12px; font-family: Verdana\"登陆成功......pa href=\"".$self."\"三秒后自动跳转或单击这里进入程序界面 /a/span";

exit;

}

}

if ，isset($_COOKIE['adminpass']) {

if ，$_COOKIE['adminpass'] != $admin['pass'] {

loginpage，;

}

} else {

loginpage，;

}

}

/*===================== 验证结束 =====================*/

// 判断 magic_quotes_gpc 状态

if ，get_magic_quotes_gpc() {

$_GET = stripslashes_array，$_GET;

$_POST = stripslashes_array，$_POST;

}

---------------------------------------------------------------------------------------------------------------------

可以跳到其它目录

注册登录后利用

可以进行injection……

只能手工注射

注意:showpath里必须包含用户自己的路径

如果限制的话，还可以向上跳,向上级传文件的时候，不能直接

. ，注射语句

就包含用户路径

... rNumber=1402257EE8F

不然不能进行注射。

文件漏洞代码如下

?

define，'__SYSTEM_ROOT', '';

include dirname，__FILE__.'/framework_gb/framework.php';

using，'System.Data.Data';

using，'System.Data.Plugins.Option';

using，'System.Page.Page';

using，'System.Smarty.Smarty';

using，'System.Functions.Functions';

require_once __SYSTEM_ROOT."global.php";

require_once __SYSTEM_ROOT."vars.php";

$db=new stdClass，;

$db=$Data-getDB，;

/*

echo 'pre';

print_r，$Data;

*/

?

可以直接注射,拿到后台密码。

好象是跨脚本漏洞

Discuz在线时间漏洞

这个不是手动的漏洞，貌似是DZ设计的问题，根据IP来的，你的时间没有被刷说明你不在漏洞IP段，SO。。。还是不要幻想了。。。望给分，另外，这个漏洞***是可以通过数据库修复的，你还是想想如何修复这个漏洞，然后告诉***要奖励吧。。。

【漏洞分析】Discuz！

之前网上爆的的是Discuz！=3.4的任意文件删除漏洞，为什么这里变成3.3了呢？因为厂商已经把3.4的修复了，不过3.3版本还是存在问题的。

首先，在本地创建一个我们要删除的测试文件

注册一个账号

然后点击保存，用burp抓个包，就可以得到我们的formhash，并在birthprovince中修改成我们要删除的文件路径，../../../test.txt

然后可以在本地创建一个文件上传的表单

然后点击上传

就完成了删除文件了~

这里漏洞出现在/upload/source/include/spacecp/spacecp_profile.php

这里第182、183行有两个unlink，函数可以删除文件，但是需要formtype=file才可以，我们把这里的打印出来

发现并不是file，因此不能在这里进行删除，继续往下看，

第229行有一个unlink，函数，并且没有任何判断，也就是说只要程序运行到这里，就可以删除文件。看一下条件

这里向上回溯，看一下$space[$key]在哪里。

出现在第23行，发现这个就是用户的个人设置，我们可以选择birthprovince，修改成要删除的文件就好了，然后实现一个上传文件 的表单，就可以删除文件了。