Discuz! X3.1后台任意代码执行可拿shell

### 简要描述： 看有人问 Discuz! X3.1后台怎么拿shell，就下载了个看看，之前有人说HTML 生成能拿shell，我昨天官方网站下载的版本发现，静态文件的扩展名，限制了htm/html.如果服务器不存在解析漏洞，就没办法执行xxx.php;.htm,就拿不下shell。 简单研究了下，发现其实Discuz! X3.1后台 存在任意代码执行问题。 也许比较鸡肋吧，要后台权限，Discuz! 本身安全性还是很不错的！ ### 详细说明： 直接重现场景，执行任意代码过程如下： 1.先附上一张 系统版本的图片[Discuz! X3.1 Release 20131122]： [<img src="https://images.seebug.org/upload/201312/11125333dafd5c4f5d901a27bf95e52512dc4510.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201312/11125333dafd5c4f5d901a27bf95e52512dc4510.jpg) 2. 全局--〉网站第三方统计代码--〉插入php代码[其他地方<>会被转意]： 如插入 <?php phpinfo();?> [<img src="https://images.seebug.org/upload/201312/11125641fcc59db58a649d1281ddb91c2a61fb29.jpg" alt="2.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201312/11125641fcc59db58a649d1281ddb91c2a61fb29.jpg) 3.工具--〉更新缓存[为了保险起见，更新下系统缓存]： [<img src="https://images.seebug.org/upload/201312/1112582725580beff906530c256ae955fbace676.jpg" alt="3.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201312/1112582725580beff906530c256ae955fbace676.jpg) 4.门户--> HTML管理--〉设置： 1） 静态文件扩展名[一定要设置成htm] ：htm 2) 专题HTML存放目录: template/default/portal 3) 设置完，提交吧！ [<img src="https://images.seebug.org/upload/201312/11130116a9bf396b778a203e34aa0caac393cfaa.jpg" alt="4.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201312/11130116a9bf396b778a203e34aa0caac393cfaa.jpg) 5. 门户--〉专题管理--〉创建专题： 1）专题标题：xyz // 这个随便你写了 2）静态化名称：portal_topic_222 //222为自定义文件名，自己要记住 3）附加内容：选择上： 站点尾部信息 [<img src="https://images.seebug.org/upload/201312/111312309faa4e59f4f6625076a764719cee90c7.jpg" alt="4-5.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201312/111312309faa4e59f4f6625076a764719cee90c7.jpg) 3）提交 4）回到门户--〉专题管理,把刚才创建的专题开启，如下图 ： [<img src="https://images.seebug.org/upload/201312/11130818fd56e62b06d11825931fddab49630993.jpg" alt="5.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201312/11130818fd56e62b06d11825931fddab49630993.jpg) 5）把刚才的专题，生成 [<img src="https://images.seebug.org/upload/201312/1113134458371f9cbec227cda2bcf336a251ae24.jpg" alt="6.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201312/1113134458371f9cbec227cda2bcf336a251ae24.jpg) 6. 下面就是关键了，现在到了包含文件的时候了。 再新建一个专题： 1）专题标题，静态化名称，这2个随便写 2）模板名：这个要选择我们刚才生成的页面：./template/default/portal/portal_topic_222.htm [<img src="https://images.seebug.org/upload/201312/1113181123b26ee196a5ec34380f7c170e883bdd.jpg" alt="7.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201312/1113181123b26ee196a5ec34380f7c170e883bdd.jpg) 3）然后提交，就执行了<?php phpinfo();?> [<img src="https://images.seebug.org/upload/201312/111319321d5dae2c64ae62b41639a31a4fcab040.jpg" alt="8.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201312/111319321d5dae2c64ae62b41639a31a4fcab040.jpg) ### 漏洞证明： [<img src="https://images.seebug.org/upload/201312/11131941f170c8d650d29afee5478e75c7d22728.jpg" alt="8.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201312/11131941f170c8d650d29afee5478e75c7d22728.jpg)