VULHUB ™

### 简要描述： wooyun还是不错的 so 我又来了 要是被通用性漏洞奖励看中了就好了 ### 详细说明： 漏洞函数在文件source\module\misc\misc_seccode.php下面 请看代码 这段代码粗略一看没什么利用条件“./source/plugin/'.$etype[0].'/seccode/seccode_'.$etype[1].'.php'”但是 我们把其中的/seccode/seccode_这个变成文件夹 不就Ok了嘛 ``` if(!is_numeric($_G['setting']['seccodedata']['type'])) { $etype = explode(':', $_G['setting']['seccodedata']['type']); if(count($etype) > 1) { $codefile = DISCUZ_ROOT.'./source/plugin/'.$etype[0].'/seccode/seccode_'.$etype[1].'.php'; $class = $etype[1]; } else { $codefile = libfile('seccode/'.$_G['setting']['seccodedata']['type'], 'class'); $class = $_G['setting']['seccodedata']['type']; } if(file_exists($codefile)) { @include_once $codefile; ``` [<img src="https://images.seebug.org/upload/201406/08200858fffb2db89b0f4465b5d683cf8b080d88.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/08200858fffb2db89b0f4465b5d683cf8b080d88.jpg) 生成一下 然后这个文件夹/seccode/seccode_就在你的根目录下面躺着 接下来构造exp [<img...

### 简要描述： wooyun还是不错的 so 我又来了 要是被通用性漏洞奖励看中了就好了 ### 详细说明： 漏洞函数在文件source\module\misc\misc_seccode.php下面 请看代码 这段代码粗略一看没什么利用条件“./source/plugin/'.$etype[0].'/seccode/seccode_'.$etype[1].'.php'”但是 我们把其中的/seccode/seccode_这个变成文件夹 不就Ok了嘛 ``` if(!is_numeric($_G['setting']['seccodedata']['type'])) { $etype = explode(':', $_G['setting']['seccodedata']['type']); if(count($etype) > 1) { $codefile = DISCUZ_ROOT.'./source/plugin/'.$etype[0].'/seccode/seccode_'.$etype[1].'.php'; $class = $etype[1]; } else { $codefile = libfile('seccode/'.$_G['setting']['seccodedata']['type'], 'class'); $class = $_G['setting']['seccodedata']['type']; } if(file_exists($codefile)) { @include_once $codefile; ``` [<img src="https://images.seebug.org/upload/201406/08200858fffb2db89b0f4465b5d683cf8b080d88.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/08200858fffb2db89b0f4465b5d683cf8b080d88.jpg) 生成一下 然后这个文件夹/seccode/seccode_就在你的根目录下面躺着 接下来构造exp [<img src="https://images.seebug.org/upload/201406/08201342aa11a76fb0dfcd84fcab5d045193ea09.jpg" alt="2.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/08201342aa11a76fb0dfcd84fcab5d045193ea09.jpg) 但是这点击提交没用 都变成了数字型 所以我们换张表单 [<img src="https://images.seebug.org/upload/201406/0820165097cddc2a25b272377e2e3dacb63b078e.jpg" alt="3.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/0820165097cddc2a25b272377e2e3dacb63b078e.jpg) 更改表的name值 点击提交 ### 漏洞证明： [<img src="https://images.seebug.org/upload/201406/08201807e14ab41a1781c59472b82517b17d524f.jpg" alt="4.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/08201807e14ab41a1781c59472b82517b17d524f.jpg)