最新的Discuz!NT2.5漏洞

導讀：

　　 最新的Discuz!NT2.5漏洞

　　此文章已發表在《黑客X檔案》2008年第10期雜志上

　　後經作者釋出在部落格上，如轉載請務必保留此資訊！

　　炎炎夏日，激情八月，讓人興奮的北京奧運會終于圓滿結束了！這是全中國人民的光榮，這是全中國人民的驕傲！那一刻你會為自己是個中國人而感到自豪，流在你身上的炎黃子孫的血液會沸騰……話說離上次寫稿差不多有半年了，這半年裡發生了許許多多事，其實好多次都想寫點什麼，卻一直都提不起創作的熱情。繁華的街市，喧嚣的人群，吵雜的車聲，渾濁的空氣……一切的一切從什麼時候起竟變得如此令人讨厭，竟變得如此陌生，竟變得如此令人窒息……北京，中國的首都之城，再加之奧運的點綴，更讓它成為了全球矚目的世界之都，而我卻竟然開始對它有種莫名的抵觸……

　　好了，感慨完了，該開始正題了。這次要介紹的是Discuz!衆多程式中的NT版社群系統中的漏洞（Discuz!NT 2.5 是康盛創想(北京)科技有限公司旗下的一款功能強大的基于 ASP.net 平台的社群軟體。基于先進的 .Net Framework，預設支援 SQLServer資料庫，可擴充支援Access、MySQL等多種資料庫，支援IIS5、IIS6、IIS7，安全高效、穩定易用，充分發揮 ASP.net特性，支援自由選擇切換皮膚，支援多種其它論壇的資料轉換。）漏洞檔案為showuser.aspx，該檔案在對變量ordertype的進行中過濾不嚴格，導緻出現SQL注入漏洞。利用該漏洞構造SQL語句可以擷取論壇管理者權限并登入背景得到Webshell，危害相當大，希望使用此程式的各站長盡快打好更新檔，以免被惡意攻擊（特别鳴謝提供漏洞資料的哥們）。

　　我們僅從技術讨論的角度出發來做一個簡單的漏洞利用測試。鑒于我現在和朋友合作做了IDC，有自己的伺服器，是以測試起來相當友善（以前都是自己架這個架那個測試的，往事不堪回首呀！需要Web空間可以找我，嘿嘿……）。給自己開通了一個全能的标準IDC專用空間，再開通了一個MsSQL的資料庫，然後到官方下載下傳最新版的Discuz!NT2.5，順利安裝成功，測試連結為：http://discuznt.estidc.com...。漏洞利用起來相當簡單，隻需要一個浏覽器即可，無需任何多餘的工具（當然了，馬還是得準備一個的）大家可以通過Google以關鍵字為“Powered by Discuz!NT2.5.0”搜尋到使用該程式的網站。

　　一、注冊使用者

　　這一步并非必須，如果你懂SQL語句，完全可以更改任意使用者密碼，或者直接自己插一個管理者到資料庫裡，但要求對Discuz!NT 2.5的資料庫要比較了解，是以這裡采用大衆化操作來介紹。首先注冊一個使用者名為hackest的使用者（密碼随意，6位以上），如圖1。

　　

　　

　　如果遇到某些關閉了注冊的網站，可以直接更改某個不是十分重要的使用者的密碼以達到目的，通路showuser.aspx檔案就能顯示該論壇所有使用者清單了，比如：http://discuznt.estidc.com...（當然了搞技術追求對他人造成的影響最小化，是以我們自己注冊一個），如圖2。

　　

　　

　　二、提升為管理者

　　注冊完畢後會自動登入，況且該漏洞即使不登入也可以利用！然後我們直接執行把自己提升為管理者的SQL語句：

　　

　　

　　三、擷取Webshell

　　好了，現在你已經是管理者權限，利用簡單吧，隻是一條SQL語句就可以了！接下來就是看怎麼拿Webshell了。提為管理者後要重登入一下才能看到進入背景的“系統設定”，如圖4。

　　

　　

　　登入管理背景之後，點“文章”->“文章相關”->“附件類型尺寸”，然後把原來的rar類型改為aspx，再點“儲存附件修改”如圖5。

　　

　　

　　會提示“操作成功執行”，不必理會，接着到前台發帖或者編輯已有文章，通過上傳附件直接上傳ASPX的馬，如圖6。

　　

　　

　　上傳完畢後再到背景管理頁面，“論壇”->“論壇維護”->“管理附件”->“搜尋附件”，這樣搜尋出來的附件是全部附件，馬一般在最後一頁，附件較多的話直接跳轉到最後一頁即可檢視。這時候我們發現馬兒已經乖乖的躺在那裡等我們了，如圖7。

　　

　　

　　直接點選通路，自動跳轉至Webshell登入入口，登入進去即可，如圖8。

　　

　　

　　至此就得到了Webshell，整個過程相當簡單。接下來還得做一些收尾工作，處理掉你所留下的記錄檔（要養成良好的黑客習慣，不要嫌麻煩）。先用你的馬往别的目錄上傳一個馬，再在之前上傳附件的地方編輯掉所改文章，然後參照剛才改允許上傳字尾的方法把aspx改回rar（其實就是一個複原過程了）。然後再在背景管理頁面找到“其他”->“運作記錄”->“背景日志”，選擇操作者為你注冊的使用者名的日志，然後删除，如圖9（注意，一般不要全删，删日志也是需要技巧的，全删的話會令人生疑，隻要把與自己相關的删掉即可）。

　　

　　

　　或者用SQL語句删除也可以，執行如下SQL語句也能達到同樣的效果：

　　http://discuznt.estidc.com/showuser.aspx?ordertype=desc;delete%20from%20dnt_users%20where%20username=%27hackest%27;--

　　四、漏洞修補

　　Discuz!官方的漏洞響應速度還是相當快的，對此漏洞已經釋出了相關更新檔程式。到官方下載下傳更新檔包，其實裡面就兩個dll檔案，FTP上傳替換即可。具體可參照官方公告：http://nt.discuz.net/showt...。最後呼籲一下：技術不是為了破壞而誕生的，請為你的行為負責！本文僅作技術交流之用，後果自負。

　　黑客任務：http://www.hackertask.com

本文轉自

http://www.hackertask.com/thread-165-1-1.html