discuz 5.0 爆新漏洞

最新推荐文章于 2024-11-20 16:23:54 发布
原创 最新推荐文章于 2024-11-20 16:23:54 发布 · 1.6k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#include #测试 #php

本文介绍了Discuz! 5.0.0版本中的新漏洞,通过输入特定代码可暴露网站物理地址。文章提供了详细的错误示例截图,并给出了具体的解决方案。

由网站访客提供
Discuz!系统拥有五年以上的应用历史,是全球成熟度最高、覆盖率最大的论坛软件系统之一.而在其发布的5.0.0版本中又爆新漏洞.只要输入一段代码就会出错,并显示出网站物理地址!

以下为笔者对岁月联盟社区和黑客基地网站测试时的截图:
sybbs.jpghbbbs.jpg

解决方案:
config.inc.php里通 $errorreport = 1;
这个设置为0
这个和php的安全设置有关.
然后:
php.ini里
display_errors = Off (如果你没有主机权限那就看下面的.)
打开论坛 include 目录下的 common.inc.php
$extra = isset($extra) && preg_match
改成
$extra = isset($extra) && @preg_match

 转自cnbeta.com

 
Discuz!X ≤3.4 任意文件删除漏洞(wooyun-2014-065513)
黑白的博客
12-06 1276
声明 好好学习,天天向上 漏洞描述 Discuz!X社区软件是一个采用PHP 和MySQL 等其他多种数据库构建的性能优异、功能全面、安全稳定的社区论坛平台。 2017年9月29日,Discuz!修复了一个安全问题2用于加强安全性,这个漏洞会导致前台用户可以导致任意删除文件漏洞。 2017年9月29日,知道创宇404 实验室开始应急,经过知道创宇404实验室分析确认,该漏洞于2014年6月被提交到Wooyun漏洞平台,Seebug漏洞平台收录了该漏洞3,漏洞编号ssvid-93588。该漏洞通过配置属性值,
discuz7.2漏洞复现--python编写poc
m0_65129142的博客
12-21 1262
环境搭建 准备一台win7装上的phpstudy 将discuz7.2源码放进去 安装discuz之前,需要先安装center 文件夹搭建存放的位置是: 解压完成之后更改名称 再然后需要把ucenter放到discuz源码下边 开始安装 安装discuz之前 首先需要安装ucenter 我们先将源码拉进phpstudy根目录下边 首先安装ucenter 需要填的只有标红框的 安装完成之后 我们进行安装2 最关键的一步来了 需要将ucenter的url修改成http://192.168.
Discuz5安全漏洞
weixin_34110749的博客
05-14 270
topicadmin.php文件中的下面代码中,一看就是$accessadd1、$accessadd2这两个变量没有初始化。有可能引发SQL注射***。但实际我也没有时间和精力去测试。毕竟如果可以利用的话,要有一定权限哦。有兴趣的朋友可以自己看看。 if($adminid == 3) {if($accessmasks) {$accessadd1 = ', a.allowvi...
discuz漏洞汇总
hacker0ne的博客
05-05 5万+
Discuz漏洞拿服务器 路径泄露 ‘api/addons/zendcheck.php’, ‘api/addons/zendcheck52.php’, ‘api/addons/zendcheck53.php’, ‘source/plugin/mobile/api/1/index.php’, ...
论坛升至discuz5.0时遇到了这个问题--交易手续费设置有误,请返回修改
静水深流
11-12 1329
论坛升至discuz5.0时遇到了这个问题--交易手续费设置有误,请返回修改,解决方法如下: 设置 最小悬赏积分 最大悬赏积分(默认即可) 最小交易金额 最大交易金额(默认即可)此时就可以更改用户组权限了,然后就可以增加回复权限了,要不,连管理员都没有回复权限,faint。。。
博客论坛建站工具DiscuzX
最新发布
xuweilin的博客
11-20 697
DiscuzX是Discuz!系列的一个版本,Discuz!自推出以来,已积累了23年的技术经验,拥有超过300万的站点用户。它以其全面而强大的功能、懂用户、知运营、高负载以及更安全的特点,引领着企业社区软件及平台应用的发展。
Discuz! version 5.0.0 suffers from a cross site sc
weixin_34150830的博客
07-09 195
提供程序(方法)可能带有***性,仅供安全研究与教学之用,风险自负! ======================================================================================== | # Title : Discuz! 5.0.0 Cross Site Scripting...
Discuz! 5.0 基础资源下载与使用指南
标题中提到“discuz5.0的很难找的,快来找找啊”,反映出这一版本由于年代久远,在当前主流技术环境中已较为稀有,属于历史资料性质的技术遗产,因此对于研究早期中文互联网生态、PHP 开发动态网站演化历程具有重要...
Discuz! 5.0 GBK补丁包修复在线显示与注册问题
5.0正式版(版本号0911)的网站管理员,旨在解决原始版本中存在的若干功能性缺陷、安全漏洞以及用户体验问题。从标题“Discuz!5.0 GBK补丁包”可以看出,此补丁特别强调对中文字符集的支持与优化,确保论坛在处理...
互动百科hdwiki5.0-utf-8
08-14
互动百科hdwiki5.0(utf-8)最版,是国内唯一的百科系统源码,可以discuz phpwind uc 等系统结合,功能强大,安装是只要把解压的upload文件夹放在php运行环境根目录下,浏览器运行http://localhost/upload即可
打造专业舒适的bbsxp 5.0论坛体验:暗藍风格皮肤设计
weixin_42576804的博客
11-09 866
本文还有配套的精品资源,点击获取 简介:暗藍风格 for bbsxp 5.0是一款为Windows平台上的bbsxp 5.0论坛量身定制的主题皮肤。以深蓝色调为主,结合简洁的设计,旨在为用户提供一种静谧、专业的论坛浏览体验。特别适合希望建立个性化和专业形象的论坛管理者和用户。此外,包括说明.htm、论坛相关服务.txt等文档在内的皮肤包,为用户提供了详细的操作指南和相关帮助...
20分钟攻破DISCUZ论坛并盗取数据库(web安全白帽子)
吾名招财的博客
06-22 3688
1 快速搭建discuz论坛 2 使用kali下burpsuite对discuz后台注入PHP木马 3 使用cknife “菜刀” 上传webshell 木马到网站 4 使用webshell查看mysql数据库密码并盗取数据库
Discuz! X系列远程代码执行漏洞分析
weixin_33755649的博客
03-08 1229
tang3 · 2015/08/10 15:050x00 漏洞概述上周有一个朋友问我有没有办法在知道uc的appkey的情况下getshell,刚好我在原来看discuz代码时曾经有过几个相关的想法,但是一直没有仔细去看,接着这个机会去看了下,果然有个很好玩的代码执行漏洞0x01 漏洞根源这个问题的根源在于api/uc.php文件中的updatebadwords方法,代码如下:#!php fun...
DIscuz5暴路径漏洞利用方法
weixin_30404405的博客
05-21 2113
漏洞描述:DISCUZ5 暴库漏洞在url后+&extra%5B%5D=page%3D1#pid1453,即可以暴出目标地址的绝对路径 另外一个:在url后加wap/include/search.inc.php 也可以暴库! 转载于:https://www.cnblogs.com/allyesno/archive/2007/05/21/754084.html...
Discuz!NT 3.0 SQL注入漏洞
天水飞翔的blog
02-05 2305
 发表下本人进行漏洞挖掘的首篇原创文章: 对Discuz nT3.0进行了分析,发现spacemanage.aspx页面存在一个注入漏洞,该页面位置:dnt3_src/dnt3/Discuz.Web/space/Admin代码如下: public void BindData() { DataGrid1.AllowCustomPagin
DZ拿shell总结
weixin_30600503的博客
01-23 859
今天碰到一个dz的站,好久没拿了 ,拿下shell觉得应该总结一下 Uc_server默认密码 其实有了UC_SERVER就是有了网站的全部权限了,有了UC_SERVER你可以重置管理员密码 可以进后台拿shell,当然你也可以不进后台拿,因为我觉得UC_server更好拿 先说一下UCkey拿shell,uckey可以进uc_server后台看 附一张dz3的图 当然有了uc-serv...
Discuz memcache+ssrf GETSHELL漏洞的问题
发粪涂墙的小毛驴的博客
07-01 2533
这2天,很多站长肯定都收到阿里云提示discuz memcache+ssrf GETSHELL漏洞的相关说明,但购买阿里云云盾安骑士最少需要支付100块钱,下面我就在猪先飞网给大家分享下如何来解决Discuz memcache+ssrf GETSHELL漏洞的问题。 该漏洞描述:discuz存在SSRF漏洞,在配置了memcache的情况下,攻击者可以利用ssrf通过memcache中转,向磁盘
中国十大最狠的流氓网站曝光!
热门推荐
李德成的网志 × lidecheng's WeBlog
12-17 13万+
 动了流氓软件的发展?谁又从流氓软件中获利,揭开流氓软件背后的始佣者,网易科技独家选出中国十大流氓网站. 以下是网易科技评选的十大流氓网站: 1、3721.com(中文实名) screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor=hand; this.alt=Click h
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值