Discuz! 绕过安全密码安装插件

### 简要描述： 前段时间我写了个利用插件拿Discuz!论坛shell的文章：http://zone.wooyun.org/content/5275 很多人说安装插件需要 安全密码 ，其实很早我就发现安全密码可以绕过的，这样就能在安装插件的论坛上拿下shell了 ### 详细说明： 不管你是注入，还是社工，甚至人品大爆发输入弱智密码进入了Discuz!后台，按我那篇文章来利用插件来拿shell，却出现需要 安全密码的情况，郁闷了吧？如下图【这种情况主要是论坛管理员安装了插件，并且绑定了QQ】： [<img src="https://images.seebug.org/upload/201307/2823371140fcbef3956a31341c685636b042a053.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201307/2823371140fcbef3956a31341c685636b042a053.jpg) 看到图片所示了吧，没辙了吧，呵呵，其实还真有办法绕过密码，安装插件的。 先说下我测试用的版本： Discuz! 程序版本 Discuz! X3 Release 20130620 下面来说说绕过安全密码的步骤： 1. 如果你没有QQ绑定过论坛，那么你就本地安装一个 Discuz! ，然后 应用 ——》应用中心 ——》 插件 ，左上角有个注册。 [<img src="https://images.seebug.org/upload/201307/282347192b08ed6b42eeef539108006e38728b4f.jpg" alt="2.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201307/282347192b08ed6b42eeef539108006e38728b4f.jpg) 注册吧，网站名称: 随便写， 网站 URL: 随便写，也可以写你要拿的目标站，点下一步，就来到了输入安全密码的地方，这个就输入你自己的安全密码吧，要记住这个安全密码哦。 [<img src="https://images.seebug.org/upload/201307/282350048cf840a80bcff01998de25308ee83b20.jpg" alt="3.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201307/282350048cf840a80bcff01998de25308ee83b20.jpg) 好吧，点绑定QQ帐号，来绑定一个QQ [<img src="https://images.seebug.org/upload/201307/2823514714d191d52d1e01c31866268cc0374b6c.jpg" alt="4.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201307/2823514714d191d52d1e01c31866268cc0374b6c.jpg) 我已经绑定好了，如果你有QQ绑定了论坛【不管绑定的什么论坛】，就跳过上面的步骤。 2.现在我们去目标站操作，登陆目标站后，进入应用中心，点，网站信息 [<img src="https://images.seebug.org/upload/201307/28235849b1a98839ada768c39f5f0121f22a9b40.jpg" alt="5.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201307/28235849b1a98839ada768c39f5f0121f22a9b40.jpg) 下面有个 退出登陆 ，点 退出登陆，出现这样的界面 [<img src="https://images.seebug.org/upload/201307/29000136eff7e3f725a76f57f243a74d963fd9d2.jpg" alt="6.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201307/29000136eff7e3f725a76f57f243a74d963fd9d2.jpg) 然后点 QQ登陆 ，选择我们第一步 绑定论坛的 QQ ，登陆进去。 [<img src="https://images.seebug.org/upload/201307/290004145fcebdd49079f043f0f38c520d49b4f7.jpg" alt="7.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201307/290004145fcebdd49079f043f0f38c520d49b4f7.jpg) 3. 我们进入插件市场 选择一个插件，然后点安装，会出现要输入安全密码的地方，这个地方，输入我们自己QQ绑定网站的 安全密码。【别以为这样就能下载插件了，这样会出现校验错误的】，然后会跳转到插件安装页面，如果QQ绑定的域名不是目标站，会跳转到绑定站的后台登陆页面，不用管，重新输入目标站的后台进入后台。 [<img src="https://images.seebug.org/upload/201307/29000922505de0413ecd049b4ebbc18c378ccf03.jpg" alt="8.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201307/29000922505de0413ecd049b4ebbc18c378ccf03.jpg) 4. 这步就是关键了，决定是否能绕过安全密码安装插件的关键，进入后台后： 点应用，再点击 应用中心， 再点击 网站信息，看看网站信息是不是之前目标站原本的信息，一定要确认是原本网站的绑定信息【不能显示自己QQ绑定的信息，如果显示自己QQ绑定的信息，则失败】，如果不是，你需要重新 点 应用 再点 应用中心。 [<img src="https://images.seebug.org/upload/201307/29001310a9c0d4fbe0a46eef2d25970db455ba96.jpg" alt="9.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201307/29001310a9c0d4fbe0a46eef2d25970db455ba96.jpg) 5. 现在你可以去插件市场安装插件了，不会再有安全密码提示了。 [<img src="https://images.seebug.org/upload/201307/290015204b02076ec5b2c5078ffb2fcd6062d9fd.jpg" alt="10.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201307/290015204b02076ec5b2c5078ffb2fcd6062d9fd.jpg) 现在我们按 我另一篇文章写的利用插件来拿shell吧，文章地址：http://zone.wooyun.org/content/5275 [<img src="https://images.seebug.org/upload/201307/290018148eaddbb5a494adfdf379633dac4aba28.jpg" alt="11.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201307/290018148eaddbb5a494adfdf379633dac4aba28.jpg) 已经菜刀连接上了【PS：打了半天的码，预览时还是发现有一处没有打码，可以找到我这次的测试网站，算了，就不打码了，比较晚了】！ [<img src="https://images.seebug.org/upload/201307/290020388c2eac782c0db5d9fa713d07808d710d.jpg" alt="12.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201307/290020388c2eac782c0db5d9fa713d07808d710d.jpg) ### 漏洞证明： [<img src="https://images.seebug.org/upload/201307/29002144c7b9815cefb6e5e4c9102c33b450dbba.jpg" alt="13.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201307/29002144c7b9815cefb6e5e4c9102c33b450dbba.jpg) 详细说明里面已经有了。