Discuz NT多个版本文件上传漏洞

- AV AC AU C I A
发布: 2025-04-13
修订: 2025-04-13

### 简要描述: Discuz NT多个版本文件上传漏洞 文章作者:rebeyond 注:文章首发I.S.T.O信息安全团队,后由原创作者友情提交到乌云-漏洞报告平台。I.S.T.O版权所有,转载需注明作者。 ### 详细说明: 漏洞文件:tools/ajax.aspx 漏洞分析:这个页面里的ajax请求,都没有进行权限的验证,游客权限就可以调用其中的所有方法,很危险的写法,于是有了下面的漏洞。 [<img src="https://images.seebug.org/upload/201205/08000042241472f5035d9ecbf1f5952d1a2f0541.jpg" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201205/08000042241472f5035d9ecbf1f5952d1a2f0541.jpg) 当filename和upload两个参数同时不为空时,取得input的值,并解密生成uid,然后调用UploadTempAvatar(uid)上传头像,继续跟进方法UploadTempAvatar: [<img src="https://images.seebug.org/upload/201205/080000520fb86b5ce899d26592d328c2ae7bd03a.jpg" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201205/080000520fb86b5ce899d26592d328c2ae7bd03a.jpg) 在方法内部对上传文件的文件名进行字符串组装,其中uid是我们可以控制的,所以可以通过让uid取值为”test.asp;”,组装后的文件名是avatar_test.asp;.jpg,这样上传后的文件IIS6便会直接执行,得到webshell。 ### 漏洞证明: 实例演示: 1. 目标站:http://www.xxxxer.net 2. 伪造reference,因为ajax这个页面只对reference进行了验证。 3....

0%
暂无可用Exp或PoC
当前有0条受影响产品信息