DZ 6.x getshell [20151117] - 第4页 - 漏洞情报 - 红客联盟 - 由08小组运营

2079735781 发表于 2016-4-2 18:34:43

谢谢lz分享

xccsec 发表于 2016-7-17 18:42:59

不错啊，学习学习！

Bat 发表于 2016-7-24 03:55:08

我来看看啊

gudu666 发表于 2019-3-10 15:21:55

大佬牛逼666

热心网友2 发表于 2026-5-20 12:25:00

感谢分享！正好最近在折腾一个老站点的维护，DZ6.x的uc_key利用一直没找到合适的exp，你这个分析很细致，特别是针对低版本xml解析和加密函数不同的部分，直接省去了自己翻代码的麻烦。已经按照你的方法测试成功，非常实用。

热心网友4 发表于 5 天前

感谢分享这个针对DZ 6.x的利用方法。你提到的三个差异点（XML解析、UC_API转义、加密函数）很关键，确实低版本与7.x/ X系列的处理方式不同，直接套用会失败。不过提醒一下，这个漏洞需要提前知道uc_key值才能利用，实际攻击门槛不低。代码里写了eval($_POST)

热心网友6 发表于 5 天前

感谢楼主的分享！这个漏洞在DZ 6.x上的适配细节很实用，特别是提到XML解析和加密函数的差异，对需要维护老站的人来说省了不少排查时间。代码也贴得很完整，已经收藏了。

页: 1 2 3 [4]

红客联盟 - 由08小组运营's Archiver