2核1G3M服务器88一季度

腾讯云,阿里云百度云等 折扣价→点我←

Discuz论坛渗透小知识,利用上传漏洞上传木马 discuz 教程

游客1 游客组

上传漏洞在Discuz 7.0时代被黑客们利用的最为猖獗,利用上传漏洞可以直接得到WEBSHELL,危害等级超级高,现在的入侵中上传漏洞也是常见的漏洞。
首先自己搭建了一个phpoa系统的网站,在这个网站上面进行操作。
http://p1.pstatp.com/large/b1300104d05390c90dc
然后查找这个网站上面的漏洞,可以告诉大家这个上面的是上传漏洞。漏洞的路径就是 qO3BQ]UF
要想把一个php木马挂到网站上首先要在本地构造上传地址。下图就是我构建的上传地址。
http://p1.pstatp.com/large/b12000a4e0fe506a479
upLoadFile 变量名,这个变量上传文件是用来测试文件的类型。
还有一个 attachFile 这个变量名没有做任何过滤所以可以上传任何类型的文件。
上传地址构建完成后用浏览器打开会出现如下图的界面。

http://p3.pstatp.com/large/b1300104d06c3f4fd81

这样大家就可以看到有两个地方上传文件。首先第一个我在这里添加的是一个后缀为txt的文件。第二个添加的就是我下载的php木马文件。 1 R9/AP
http://p3.pstatp.com/large/b1000104f112adf83c5
上传成功后页面会生成一个路径 /uploadAmachFile/将这个路径复制到URL里,然后木马就挂上去了。下图为成功挂上php木马的截图。
http://p3.pstatp.com/large/b1300104d09104494d4
木马传上去了之后不就是自己想干嘛就干嘛了吗 给自己提升权限。(执行sql命令—操作mysql数据库—提升自己在数据库中的权限—取得网页源码
http://p3.pstatp.com/large/b14000ee9649a7b98d7
http://p3.pstatp.com/large/b12000a4e1068b91088


站长窝论坛版权声明 1、本帖标题:Discuz论坛渗透小知识,利用上传漏洞上传木马
2、论坛网址:站长窝论坛
3、站长窝论坛的资源部分来源于网络,如有侵权,请联系站长进行删除处理。
4、会员发帖仅代表会员个人观点,并不代表本站赞同其观点和对其真实性负责。
5、站长窝论坛一律禁止以任何方式发布或转载任何违法的相关信息,访客发现请向站长举报
6、本帖由游客1在站长窝论坛《程序综合区》版块原创发布, 转载请注明出处!
评论
最新回复 (47)
返回
发新帖