VULHUB ™

### 简要描述： 第一版的绕过安全密码装插件：http://www.wooyun.org/bugs/wooyun-2013-032644 第一版后台拿shell：利用插件拿Discuz!论坛shell的文章http://zone.wooyun.org/content/5275 第二版：Discuz! 后台第三方插件上传任意后缀文件，拿shell， 还未审核 今天谈的是第二版绕过安全密码装插件。 ### 详细说明： Discuz!应用中心，会员忘记密码找回，出现了逻辑问题，并没有验证URL是否为当前用户所有，从而造成了会员密码更改，继而安装插件，最终可后台拿webshell。 利用条件： 自己有一个webshell 。 原理：将下载的 校验文件 addonreset.txt 上传到自己 WEBSHELL的网站根目录， 网站URL里面写 webshell的目录，然后验证，然后更改密码，再然后用更改的密码安装插件！ 图解实现过程： 1.登陆论坛后台，【应用】-->【应用中心】-->【 网站信息】-->【修改密码】 [<img src="https://images.seebug.org/upload/201308/2419015337f9465587fd6942a2f370455291fba2.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201308/2419015337f9465587fd6942a2f370455291fba2.jpg) 2. 点击【忘记密码】,网站 URL: 写自己webshell的网址【或者自己的网站网址】，然后将校验文件 addonreset.txt，下载下来，放到webshell的根目录下 [<img src="https://images.seebug.org/upload/201308/24190756ef26a73b56a52893b25d399ffc7df1fa.jpg" alt="2.jpg" width="600"...

### 简要描述： 第一版的绕过安全密码装插件：http://www.wooyun.org/bugs/wooyun-2013-032644 第一版后台拿shell：利用插件拿Discuz!论坛shell的文章http://zone.wooyun.org/content/5275 第二版：Discuz! 后台第三方插件上传任意后缀文件，拿shell， 还未审核 今天谈的是第二版绕过安全密码装插件。 ### 详细说明： Discuz!应用中心，会员忘记密码找回，出现了逻辑问题，并没有验证URL是否为当前用户所有，从而造成了会员密码更改，继而安装插件，最终可后台拿webshell。 利用条件： 自己有一个webshell 。 原理：将下载的 校验文件 addonreset.txt 上传到自己 WEBSHELL的网站根目录， 网站URL里面写 webshell的目录，然后验证，然后更改密码，再然后用更改的密码安装插件！ 图解实现过程： 1.登陆论坛后台，【应用】-->【应用中心】-->【 网站信息】-->【修改密码】 [<img src="https://images.seebug.org/upload/201308/2419015337f9465587fd6942a2f370455291fba2.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201308/2419015337f9465587fd6942a2f370455291fba2.jpg) 2. 点击【忘记密码】,网站 URL: 写自己webshell的网址【或者自己的网站网址】，然后将校验文件 addonreset.txt，下载下来，放到webshell的根目录下 [<img src="https://images.seebug.org/upload/201308/24190756ef26a73b56a52893b25d399ffc7df1fa.jpg" alt="2.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201308/24190756ef26a73b56a52893b25d399ffc7df1fa.jpg) 3. 点击【校验】，会出现校验成功，这就是有意思的地方，没有对URL做任何判断。 [<img src="https://images.seebug.org/upload/201308/24191209547742de40389b10f9e9ebd55d0738e8.jpg" alt="3.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201308/24191209547742de40389b10f9e9ebd55d0738e8.jpg) 4. 输入我们自己的密码. [<img src="https://images.seebug.org/upload/201308/2419123717efdd00696872d2585c1ab6343e7173.jpg" alt="4.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201308/2419123717efdd00696872d2585c1ab6343e7173.jpg) 5.来装个插件验证下. [<img src="https://images.seebug.org/upload/201308/24191621059632312eb1a509a7a57876842640f5.jpg" alt="8.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201308/24191621059632312eb1a509a7a57876842640f5.jpg) 配合插件任意文件上传，完美拿shell！ ### 漏洞证明： [<img src="https://images.seebug.org/upload/201308/24191804d463ff27832b4c5c560c34bbe7b0f756.jpg" alt="yz.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201308/24191804d463ff27832b4c5c560c34bbe7b0f756.jpg) 成功更改安全密码