Discuz! 官方站

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
楼主: ZhanYing

一个 discuzX3.4 的漏洞利用代码

[复制链接]
发表于 2021-4-13 00:13:32 | 显示全部楼层
ZhanYing 发表于 2021-4-12 20:07
这个dz4.3自从下载就没更新过 怕丢数据模板什么的。。。
之前key是加密的密文 被篡改成了123456 我才发 ...

该升级还是要升级的,不升级的话网站无法得到最新的问题修复,自然容易被入侵。
如果是x3.4的话,是可以直接通过覆盖文件的方式升级的,风险其实不大,记得升级之前做好备份就行。
回复

使用道具 举报

发表于 2021-4-13 03:10:54 | 显示全部楼层
老周部落 发表于 2021-4-12 11:25
应该是 UC_KEY 泄露导致的问题,不过没有 POC 不好判断。
建议临时给 UC.PHP 文件增加白名单,只允许合法  ...

我怀疑这人的站可能后台都被拿了,因为uc.php早在x3.1时代就加入了对传入的引号进行去除的操作,但它给的这个例子带引号还被转义了
回复

使用道具 举报

 楼主| 发表于 2021-4-13 17:49:05 来自手机 | 显示全部楼层
cornersoft 发表于 2021-4-13 00:13
该升级还是要升级的,不升级的话网站无法得到最新的问题修复,自然容易被入侵。
如果是x3.4的话,是可以 ...

能麻烦推一下最新版吗。。。
我找了半天没找到大于3.4版本的dz论坛
谢谢啦...
回复

使用道具 举报

发表于 2021-4-13 18:50:04 | 显示全部楼层
ZhanYing 发表于 2021-4-13 17:49
能麻烦推一下最新版吗。。。
我找了半天没找到大于3.4版本的dz论坛
谢谢啦...

最新版还是x3.4,但是x3.4是有小版本的,比如最新的x3.4是R20210320。
可以直接在 https://www.dismall.com/thread-73-1-1.html 免登录下载
也可以在本站首页最上面官方发布那里点进去,置顶的红色链接就有20210320,仔细看一下(需要跳转到Gitee并登录)
回复

使用道具 举报

发表于 2021-4-13 22:02:18 | 显示全部楼层
本帖最后由 老周部落 于 2021-4-13 22:10 编辑
cornersoft 发表于 2021-4-13 03:10
我怀疑这人的站可能后台都被拿了,因为uc.php早在x3.1时代就加入了对传入的引号进行去除的操作,但它给的 ...

确实,所以他这个确实是说不好,主要这两句话提供不了太多信息。
不过这么看,确实不是 UC.PHP 进来的,估计还是从别处进来的,具体不好说。
而且既没有全流程原始数据包,也不给 POC 。这么大个 Discuz! 纯代码审计一没时间,二不好查啊。
回复

使用道具 举报

发表于 2021-4-13 22:21:00 | 显示全部楼层
本帖最后由 老周部落 于 2021-4-13 22:23 编辑
ZhanYing 发表于 2021-4-12 12:45
我网站挂着云盾的防火墙 从云盾看是通过dz的admin.php进来的。。。

admin.php 的话,没有后台权限是肯定打不开的。
说明黑客已经有了您站点能进后台的用户名和密码了,先查查这个。
如果需要我们帮忙查 admin.php 有没有漏洞的话,需要提供给我们完整的行为,不然 Discuz! 这么大代码量,全查一遍要很久很久还未必有收获。

另外这几年 Discuz! 也断断续续修复过一些安全问题,建议直接升级最新版再说。

回复

使用道具 举报

 楼主| 发表于 2021-4-13 23:51:55 | 显示全部楼层
cornersoft 发表于 2021-4-13 18:50
最新版还是x3.4,但是x3.4是有小版本的,比如最新的x3.4是R20210320。
可以直接在 https://www.dismall. ...

Discuz! X3.4 Release 20180101......
好吧自从下载安装之后确实没更新过= =
回复

使用道具 举报

发表于 2021-4-14 00:46:22 | 显示全部楼层
跟我类似的情况,uc被黑,admin账号密码被改。也是uc这块被修改。看我主题
回复

使用道具 举报

发表于 2021-4-14 01:10:01 | 显示全部楼层
gsl301 发表于 2021-4-14 00:46
跟我类似的情况,uc被黑,admin账号密码被改。也是uc这块被修改。看我主题

首先建议更新到Discuz最新版本,然而这还不够,因为你使用老版本的时候可能已经被入侵,泄露了相关数据,所以才会导致不断的被入侵,因此uc_key等关键密钥记得重置一下。
另外记得检查确认,真的是在用最新版本,有些人采用简单覆盖文件的方式升级,文件没覆盖全都没注意到,还自以为已经是最新版了。
服务器方面,除了data目录,头像目录,插件目录以外的区域写权限平时一律关掉,执行权限也可以不给(但个别服务器除外,个别服务器不给执行权限就炸了,那样的话还得给)

Discuz本身还是很安全的,许多站点在服务器配置完善的情况下,常年不更新到最新版也一点事都没有(当然不推荐模仿)
回复

使用道具 举报

发表于 2021-4-14 03:41:26 | 显示全部楼层
老周部落 发表于 2021-4-13 22:02
确实,所以他这个确实是说不好,主要这两句话提供不了太多信息。
不过这么看,确实不是 UC.PHP 进来的, ...

基本流程应该就是,uc_key被拿,通过uc.php改了密码,之后从admin.php进的,那里的UC_API没有过滤,只加addslashes,特征吻合。整个程序里能修改config_ucenter的也就这么两处了。

不过奇怪的是这个:https://www.discuz.net/thread-3855443-1-1.html
前半部分应该过程是差不多的,但它出来的结果里单引号没被转义,双引号被转义了。我试了好几个环境甚至还开了magic quotes都没法复现这个行为,偏偏那还是个新版本(后台有腾讯云字样),太诡异了。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Discuz! Q 1.0 正式发布,5 分钟快速生成粉丝社区,助力内容创作者快速变现

小黑屋|Discuz! 官方站 ( 粤B2-20090059-165 )star

GMT+8, 2021-5-12 07:10

Powered by Discuz! X3.4

Copyright © 2001-2019 Tencent Cloud.

快速回复 返回顶部 返回列表