utility/convert/data/config.inc.php Discuz! X 最新Getshell漏洞EXp(自带插件)

2014年11月4日 发表评论 阅读评论

dz0day 公布~

其实咱尖刀内部已经玩废了-。-

顺便膜拜下疯子大牛…

===

在看之前我们首先要像乌云提交的作者致敬,因为是他那个标题才让我们尖刀团队研究出来的,当然如果有人硬是要说抄袭也可以,我们做我们的,你们说你们的,这是我们一贯的风格。

作者:网络尖刀安全团队
#1 这漏洞出现在一个DZ X系列自带的转换工具里面!
漏洞路径:utility/convert/data/config.inc.php


#2 在开始设置里面可以设置数据的属性,而post的数据直接写到了config.inc.php这个文件里面,无任何过滤检测!


#3 然后小伙伴们写一半的shell没用,最后尖刀的某个小伙伴说直接修改表单,然后成功!

#4 打开EXP直接修改您需要的网站然后直接点击保存即可。

shell连接utility/convert/data/config.inc.php  密码c

exp链接: http://pan.baidu.com/s/1kTFib1l 密码: ku87


转载请注明来自:[MSN Spaces]http://msn.shandian.biz/835.html

  1. 本文目前尚无任何评论.