阿里云提示Discuz uc.key泄露导致代码注入漏洞uc.php的解决方法

最新推荐文章于 2021-03-18 02:54:28 发布
最新推荐文章于 2021-03-18 02:54:28 发布
阅读量186 收藏
点赞数
文章标签: php

适用所有用UC整合

阿里云提示漏洞:

discuz中的/api/uc.php存在代码写入漏洞,导致黑客可写入恶意代码获取uckey,..........

 

漏洞名称:Discuz uc.key泄露导致代码注入漏洞


补丁文件:/api/uc.php

补丁来源:云盾自研

 

解决方法:
找到文件/api/uc.php​ 中的以下代码:

$configfile = substr($configfile, -2) == '?>' ? substr($configfile, 0, -2) : $configfile;

大概216行,替换成以下:

$configfile = preg_replace("/define\('UC_API',\s*'.*?'\);/i", "define('UC_API', '".addslashes($UC_API)."');", $configfile);

更新代码后,在阿里云后台这条漏洞后面点“验证一下”,即可看到这条漏洞补上就没有了

 

 

 

 

 科普一下:PHP addslashes() 函数

 在每个双引号(")前添加反斜杠:

<?php 
$str = addslashes('Shanghai is the "biggest" city in China.');
echo($str); 
?>

结果:Shanghai is the \"biggest\" city in China.

 

weixin_33811961
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
api uc.php 漏洞,api uc.php 漏洞
weixin_29061509的博客
03-11 161
Re阿里提示Discuz uc.key泄露导致代码注入漏洞uc.php解决方法if(!API_UPDATEBADWORDS) {return API_RETURN_FORBIDDEN;}$data = array();if(is_array($post)) {foreach($post as $k =...
api uc.php 漏洞,Discuz7.2及以下版本 /api/uc.php uc.key泄露导致代码注入漏洞补丁
weixin_34010461的博客
03-11 321
这个漏洞已经在discuz! x1版本悄悄给补上了,但是7.2及以下含有uc接口的版本的均没有补。当然,漏洞是依旧是鸡肋的,想要利用这个漏洞,必须满足两点条件:1.必须知道UC_KEY,通常在配置文件里,或者ucenter的原始(没有经过修改的)数据库(应用)中;2.配置文件config.inc.php必须可写。一、漏洞代码:...functionupdateapps($get,$post)...
Discuz!uc.key泄露导致代码注入漏洞uc.php解决方法
热门推荐
土著人宁巴的Discuz!专栏
04-06 1万+
漏洞名称:Discuz uc.key泄露导致代码注入漏洞 漏洞描述:在Discuz中,uc_keyUC客户端与服务端通信的通信密钥,discuz中的/api/uc.php存在代码写入漏洞导致黑客可写入恶意代码获取uckey,最终进入网站后台,造成数据泄漏。您也可以登录官方网站更新到最新版本解决。 最近用某云服务器的朋友比较多,都来反馈~这个漏洞,现在把修复方案分享下吧 打开/api/uc
discuz api uc.php 漏洞,DISCUZ X1.5 本地文件包含漏洞
weixin_28788441的博客
03-18 257
DISCUZX1.5 本地文件包含,当然是有条件的,就是使用文件作为缓存。config_global.php$_config['cache']['type'] = ‘file’;function cachedata($cachenames) {……$isfilecache = getglobal(‘config/cache/type’) == ‘file’;……if($isfilecache) {...
Discuz7.2版的faq.php SQL注入漏洞分析
10-25
主要介绍了Discuz7.2版的faq.php SQL注入漏洞分析,包含注入代码和源码分析,需要的朋友可以参考下
Python写的Discuz7.2版faq.php注入漏洞工具
12-25
Discuz 7.2 faq.php全自动利用工具,getshell 以及dump数据,python 版的uc_key getshell部分的代码来自网上(感谢作者) 实现代码: #!/usr/bin/env python # -*- coding: gbk -*- # -*- coding: gb2312 -*- # -*- ...
基于Discuz security.inc.php代码的深入分析
10-27
本篇文章是对Discuz security.inc.php代码进行了详细的分析介绍,需要的朋友参考下
disczu 3.4远程附件设置阿里云OSS程序源代码和使用方法
07-11
disczu 3.4远程附件设置阿里云OSS程序源代码和使用方法
阿里提示Discuz uc.key泄露导致代码注入漏洞解决方法
leejianjun的博客
02-21 5284
本文转载自:http://www.moke8.com/article-15381-1.html PS:已经过实际修改,不影响登录操作。如果修复后阿里云提示漏洞,忽略即可。 首先找到这个文件/api/uc.php 第一处修改 if(!API_UPDATEBADWORDS) { return API_RETURN_FORBIDDEN; } $data = array(); if(is_arr
关于Discuz! X系列远程代码执行漏洞
weixin_34306676的博客
11-16 512
一、漏洞起源 突然有同事反馈,无法注册   看到这里不了解的同行估计一年懵逼,这里也是常用的漏洞攻击,可以肯定的是  badwords.php文件被修改了 ,可以查看这个文件内容 &lt;?php $_CACHE['badwords'] = array ( 'findpattern' =&gt; array ( 'balabala' =&gt; '/.*/...
discuz api uc.php 漏洞,解读Discuz论坛程序中UCenter致命性UC_KEY漏洞
weixin_36146811的博客
03-18 1006
Discuz早已是朋友家喻户晓的程序了,几乎所有玩过论坛的朋友都或多或少知道它,但也因为这么大的平台(腾讯旗下品牌)也有着很严重的安全漏洞。所以以下图为例为大家展示一下!希望能够对大家有所帮助!Kiscu!是知名的开源论坛建站程序,在国内有着庞大的用户群体,一旦发生安全漏洞,做网站受影响网站将不计其数。有白帽发现Kiscuz!程序存在一个安全bug,在得知UC_KEY的情况下,可以轻松向站点写入后...
phpcms+ucenter+discuz论坛整合教程
不忘初心,方得始终
05-03 1129
UCenter 系统下的各 Comsenz 产品均可以实现同步登录、同步退出,如何设置同步登录可参考教程 设置UCenter下各应用同步登录 Comsenz 同时发布了 UCenter、UCenter Home、Discuz!、SupeV、ECShop、SupeSite 等多个产品,各个产品可以通过 UCenter 实现会员信息的整合,通过简单的设置也可以达到同步登录退出。
ucenter api/uc.php数据密匙验证
weixin_34021089的博客
05-07 253
为什么80%的码农都做不了架构师?>>> ...
discuz常见问题
daily886的博客
03-08 417
1. 安装后 ,访问首页 样式没有登录后台地址 http://127.0.0.1/admin.php 登录后 ,到 工具 -》清理缓存 -》 确定 , 清理后可以正常显示2.获取 config_global.php里的配置  $_G['config']3.加载自定义的函数   在upload/source/function/   新建文件 function_custom.php然后在 upload...
Phpcms V9 uc api SQL注入漏洞
hacke2' Blog
02-08 2981
http://bbs.wolvez.org/viewtopic.php?id=256 漏洞分析: 1.未启用ucenter服务的情况下uc_key为空 define('UC_KEY', pc_base::load_config('system', 'uc_key')); 2. deleteuser接口存在SQL注入漏洞UC算法加密的参数无惧GPC,程序员未意识到$get['ids']会存
Discuz x3.2-Wecenter3.1.3 通过ucenter通信 教程 附uc插件下载地址
chike2468的博客
07-27 1548
1,安装discuz x3.2,选择全新安装(包含ucenter).安装后目录为:地址1 2,安装wecenter,安装后目录为:地址2,并为wecenter安装ucenter插件。插件下载地址:Anwsion_2-0_UC.zip:https://download.csdn.net/download/chike2468/10567168 3,进入:地址3,登录,一定要注意, 要用UCen...
discuz 加载ucenter中的方法以及UCenter中的常用方法
qq_25861247的博客
05-15 1140
function loaducenter() { require_once DISCUZ_ROOT.'./config/config_ucenter.php'; require_once DISCUZ_ROOT.'./uc_client/client.php'; }loaducenter();方法定义位置:source\function\function_core.php系统通知的方法...
写配置漏洞与几种变形学习
whojoe的博客
05-14 227
写配置漏洞与几种变形学习前言0×01 基础版0×02 单行模式:0×03 基础版非贪婪模式0×04 单行非贪婪模式0×05 define基础版0×06 define单行版0×07 define基础版非贪婪模式0×08 define单行非贪婪模式参考文章 前言 前段时间在代码审计时候发现了一些写配置的漏洞,今天正好看到了这个文章,做一下学习 0×01 基础版 特点:正则贪婪模式、无s单行模式: option.php以下无特殊说明,都以此文件为配置文件 <?php $API1 = '12123'; $AP
php discuzSQL注入_Discuz 7.2 /search.php SQL注入漏洞
最新发布
05-24
PHP Discuz 的 SQL 注入漏洞是一种常见的网络安全威胁,可以导致网站被黑客攻击并被窃取敏感信息。其中,Discuz 7.2 版本中的 /search.php 存在 SQL 注入漏洞,攻击者可以利用该漏洞直接执行恶意 SQL 代码,以此获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值