VULHUB ™

### 简要描述： 由于没有一个通用标准的防御规则保护好中间件配置信息、DNS信息、系统错误信息和敏感地址信息(后台或测试地址)的泄露，攻击者可能会通过收集这些保护不足的数据，利用这些信息对系统实施进一步的攻击。 本报告通过一系列逻辑关联，成功搞电Discuz!官方网站。 ### 详细说明： # 信息整理 最近拜读并整理一年内的安全事件和各类技术文章，发现了一个小哥写的：“记一次对Discuz官方论坛的渗透检测”(请自行搜索)，然后重新梳理相关信息，也对discuz官方进行了一次安全测试。 发现那位小哥主要是利用dev.discuz.org的漏洞成功渗透至discuz.net官方， 于是我也将dev.discuz.org标记为一个切入口。 # 信息收集 ( 基于商业whois、domaintools、DNS信息做的IP反查工具) [root@localhost script]# python ./domain.py dev.discuz.org {"dev.discuz.org": 80} {"u.discuz.net": 80} {"up.discuz.net": 80} {"g.8la.la": 80} # 整理并分析信息 http://g.8la.la 这个小站引起了我的注意，拿起扫描器发现多处小问题（小问题往往能引发意想不到的结果）。 http://g.8la.la/1.php http://g.8la.la/test.php http://g.8la.la/bbs http://g.8la.la/bbs2 http://g.8la.la/bbsnew 从第一个1.php的phpinfo，让我更加确定，这和discuz官方关联紧密。 [<img src="https://images.seebug.org/upload/201311/011309179a62e7ed9840e98f39d6c35aa5962f2c.jpg" alt="discuz_phpinfo.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/011309179a62e7ed9840e98f39d6c35aa5962f2c.jpg) #...

### 简要描述： 由于没有一个通用标准的防御规则保护好中间件配置信息、DNS信息、系统错误信息和敏感地址信息(后台或测试地址)的泄露，攻击者可能会通过收集这些保护不足的数据，利用这些信息对系统实施进一步的攻击。 本报告通过一系列逻辑关联，成功搞电Discuz!官方网站。 ### 详细说明： # 信息整理 最近拜读并整理一年内的安全事件和各类技术文章，发现了一个小哥写的：“记一次对Discuz官方论坛的渗透检测”(请自行搜索)，然后重新梳理相关信息，也对discuz官方进行了一次安全测试。 发现那位小哥主要是利用dev.discuz.org的漏洞成功渗透至discuz.net官方， 于是我也将dev.discuz.org标记为一个切入口。 # 信息收集 ( 基于商业whois、domaintools、DNS信息做的IP反查工具) [root@localhost script]# python ./domain.py dev.discuz.org {"dev.discuz.org": 80} {"u.discuz.net": 80} {"up.discuz.net": 80} {"g.8la.la": 80} # 整理并分析信息 http://g.8la.la 这个小站引起了我的注意，拿起扫描器发现多处小问题（小问题往往能引发意想不到的结果）。 http://g.8la.la/1.php http://g.8la.la/test.php http://g.8la.la/bbs http://g.8la.la/bbs2 http://g.8la.la/bbsnew 从第一个1.php的phpinfo，让我更加确定，这和discuz官方关联紧密。 [<img src="https://images.seebug.org/upload/201311/011309179a62e7ed9840e98f39d6c35aa5962f2c.jpg" alt="discuz_phpinfo.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/011309179a62e7ed9840e98f39d6c35aa5962f2c.jpg) # 逐个测试用例进行测试 从1.php、test.php我没有得到任何可以进一步扩展的信息，直到看到此域名下面还架设有3个测试用的论坛。 [<img src="https://images.seebug.org/upload/201311/01131151f876f3067c79c6e11b03691fc5826e03.jpg" alt="discuz_bbsnew.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/01131151f876f3067c79c6e11b03691fc5826e03.jpg) 看到测试论坛都只有一个用户，且用户名为admin，然后随手试了一下密码123456、admin123、admin，结果就登录成功了，还是论坛创始人权限。 ``` http://g.8la.la/bbs http://g.8la.la/bbsnew 这两处测试论坛的管理员admin密码均为：admin ``` [<img src="https://images.seebug.org/upload/201311/01131349da2eeb8c6c7fa1cd1ced040f6860f9dc.jpg" alt="discuz_bbsadmin.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/01131349da2eeb8c6c7fa1cd1ced040f6860f9dc.jpg) # 到了后台，拿个SHELL继续收集信息，以战养战，争取不放过任何一个可分析的信息，可用的测试路径。 ### 漏洞证明： # 获取到SHELL，www.discuz.net 历历在目 [<img src="https://images.seebug.org/upload/201311/01131710369022292e0c7f10bd8bb0a9164a22c4.jpg" alt="discuz_shell.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/01131710369022292e0c7f10bd8bb0a9164a22c4.jpg) # 间接利用，成功访问到官网数据，我只是测试了一下，并未下载这些数据，谢谢！ UC_KEY在手，即可做任何对discuz.net官方论坛的操作了！ [<img src="https://images.seebug.org/upload/201311/01131846c8840d89eddabb82923e55fbfe0812ba.jpg" alt="discuz_uc_application.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/01131846c8840d89eddabb82923e55fbfe0812ba.jpg) 210万用户信息 [<img src="https://images.seebug.org/upload/201311/011319325d7dad2206652d9d124a8eaa4abddb6e.jpg" alt="discuz_uc_members.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/011319325d7dad2206652d9d124a8eaa4abddb6e.jpg) [<img src="https://images.seebug.org/upload/201311/011323008bed93c74f68d8f4157d0f0a5d836b30.jpg" alt="discuz_userinfo.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/011323008bed93c74f68d8f4157d0f0a5d836b30.jpg)