discuz 5.0 爆新漏洞

最新推荐文章于 2023-04-23 10:50:23 发布
最新推荐文章于 2023-04-23 10:50:23 发布
阅读量1.5k 收藏
点赞数
分类专栏: A - Listening 文章标签: include 测试 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lidecheng/article/details/1486929
版权

由网站访客提供
Discuz!系统拥有五年以上的应用历史,是全球成熟度最高、覆盖率最大的论坛软件系统之一.而在其发布的5.0.0版本中又爆新漏洞.只要输入一段代码就会出错,并显示出网站物理地址!

以下为笔者对岁月联盟社区和黑客基地网站测试时的截图:
sybbs.jpghbbbs.jpg

解决方案:
config.inc.php里通 $errorreport = 1;
这个设置为0
这个和php的安全设置有关.
然后:
php.ini里
display_errors = Off (如果你没有主机权限那就看下面的.)
打开论坛 include 目录下的 common.inc.php
$extra = isset($extra) && preg_match
改成
$extra = isset($extra) && @preg_match

 转自cnbeta.com

 
lidecheng
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Discuz论坛远程漏洞执行实例
07-04
第3课 Discuz论坛远程漏洞执行实例Discuz论坛远程漏洞执行实例Discuz论坛远程漏洞执行实例Discuz论坛远程漏洞执行实例Discuz论坛远程漏洞执行实例Discuz论坛远程漏洞执行实例
Thinkphp漏洞详解合集
Aiwin的博客
05-24 2830
Thinkphp漏洞合集详细分析(未完成)
php taint检测XSS/SQL/Shell注入漏洞
小码农的博客
04-21 619
下载安装对应的扩展。安装完成后。使用很简单。在使用echo 之类的输出操作。或者 获取cookie session中的值、如果说你的代码存在注入的问题。系统会提示。
Discuz memcache+ssrf GETSHELL漏洞的问题
发粪涂墙的小毛驴的博客
07-01 2394
这2天,很多站长肯定都收到阿里云提示discuz memcache+ssrf GETSHELL漏洞的相关说明,但购买阿里云云盾安骑士最少需要支付100块钱,下面我就在猪先飞网给大家分享下如何来解决Discuz memcache+ssrf GETSHELL漏洞的问题。 该漏洞描述:discuz存在SSRF漏洞,在配置了memcache的情况下,攻击者可以利用ssrf通过memcache中转,向磁盘
DZ拿shell总结
weixin_30600503的博客
01-23 762
今天碰到一个dz的站,好久没拿了 ,拿下shell觉得应该总结一下 Uc_server默认密码 其实有了UC_SERVER就是有了网站的全部权限了,有了UC_SERVER你可以重置管理员密码 可以进后台拿shell,当然你也可以不进后台拿,因为我觉得UC_server更好拿 先说一下UCkey拿shell,uckey可以进uc_server后台看 附一张dz3的图 当然有了uc-serv...
PHP程序提示sql注入漏洞的处理方法
wwwwestcn的博客
04-23 638
如果想整站防注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中!添加require_once('360_safe3.php');1.解压后将360_safe3.php传到要包含的文件的目录。a).在所需要防护的页面加入代码。就可以做到页面防注入、跨站。常用php系统添加文件。
Discuz!NT 3.0 SQL注入漏洞
天水飞翔的blog
02-05 2222
 发表下本人进行漏洞挖掘的首篇原创文章: 对Discuz nT3.0进行了分析,发现spacemanage.aspx页面存在一个注入漏洞,该页面位置:dnt3_src/dnt3/Discuz.Web/space/Admin代码如下: public void BindData() { DataGrid1.AllowCustomPagin
Discuz漏洞整理.pdf
11-15
Discuz漏洞整理,基本囊括了所有已知discuz漏洞,推荐人群为:渗透测试工程师/安全研究员
Discuz 5.0 中读取纯真IP数据库函数分析
10-30
Discuz 5.0 中读取纯真IP数据库函数分析
开口中5.0插件 for Discuz!7.0 GBK
04-23
3.在后台导入插件配置信息 discuz_plugin_mouth. 4..打开 include/cache.func.php 查找'medals' => array('medals')下面加:'mouth' => array('mouth'),查找 case 'medals': $table = 'medals'; $cols = '...
discuz漏洞
02-21
discuz漏洞软件,扫描DZ的漏洞,下载一看就懂的
中国十大最狠的流氓网站曝光!
热门推荐
李德成的网志 × lidecheng's WeBlog
12-17 6万+
 动了流氓软件的发展?谁又从流氓软件中获利,揭开流氓软件背后的始佣者,网易科技独家选出中国十大流氓网站. 以下是网易科技评选的十大流氓网站: 1、3721.com(中文实名) screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor=hand; this.alt=Click h
Ip-adress.com:国际IP地址查询工具
李德成的网志 × lidecheng's WeBlog
01-16 2050
以前经常使用ip38.com来查询IP地址对应的地理位置,服务简单但很实用,不过查询国外的IP就有些吃力了。而IP-address.com可以查询全球的IP地址,并且精确定位到该IP的国家、城市,经纬度,ISP服务商,并通过Google Maps定位到地图上的实际地理位置,非常形象直观。 (配图:查询GoogleBot 搜寻引擎机器人IP地址)点击看大图  如果再社会化一些,例如可以在
Google旗下的牛人们
李德成的网志 × lidecheng's WeBlog
01-07 1883
众所周知,越来越多的牛人开始加入google,google已经俨然变成了一个大牛集中营。不过当有人真的问你google究竟有哪些牛人的话,除了李开复(微软前全球副总裁),你还能列举出谁呢?下面我们来review一下google究竟有哪些牛人们 ……1 Vinton Cerf :号称互联网之父,TCIP/IP协议和互联网架构的合作设计者。他05年10月3日开始正式为google工作,职位
熊猫烧香病毒幕后黑手曝光 网络世界高手对决一个月
李德成的网志 × lidecheng's WeBlog
01-26 1838
这是一波电脑病毒蔓延的狂潮.在两个多月的时间里,数百万电脑用户被卷将进去,那只憨态可掬、颔首敬香的“熊猫”除而不尽,成为人们噩梦般的记忆.  反病毒工程师们将它命名为“尼姆亚”.它还有一个更通俗的名字———“熊猫烧香”.它迅速化身数百种,不断入侵个人电脑,感染门户网站,击溃企业数据系 统……它的蔓延考问着网络的公共安全,同时引发了一场虚拟世界里“道”与“魔”的较量.反病毒工程师和民间反病毒人士纷
熊猫烧香,好可爱的病毒
李德成的网志 × lidecheng's WeBlog
01-15 1602
今天终于见到了网页上火热的"熊猫烧香",但不是我本机中的,是在nings blog上看到的出自:http://hi.baidu.com/andy18603313/blog/item/af8a7a2705126603908f9d38.html原文:这张粉可耐的图来自最近令人闻风丧胆的病毒:熊猫烧香。搜索一下,GOOGLE查到155000条,百度243000条,LIVE SEARCH只
在线乐高玩具拼图
李德成的网志 × lidecheng's WeBlog
01-12 1423
一个在线版的乐高积木游戏,可以任意选择模块的颜色和位置。详细操作可以看“?”帮助。生成作品后可以制作成动画并得到地址发送给朋友。站点地址转自博客士 | Blog Sir  
Google、迅雷与李开复、周鸿祎的那点破事
李德成的网志 × lidecheng's WeBlog
01-22 1416
Google投资迅雷,业界很多目光都聚焦在聚焦在版权的问题上,但那些似乎不是我们普通用户所需要关心 的,我们需要国外的电影,但即使没了迅雷,也会有其它公司来做,很可能用户体验会更好. 作为迅雷的用户,在迅雷拿到投资有钱之后,我并没有觉得用户体验变好,反到觉得迅雷有点在杀鸡取卵.广告弹窗买一赠二 现在如果用迅雷5客户端下载一次,竟然额外赠送两个弹窗。一个是右下角的业务推
discuz7.2 sql注入漏洞
最新发布
06-02
为了避免这个漏洞,建议用户及时升级到最新版本的Discuz!,同时也应该加强系统的安全防护措施,如限制数据库用户权限、开启防火墙等。此外,还可以通过对用户输入数据进行严格的过滤和验证来避免SQL注入漏洞的发生。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值