请教大神 dz7.2的漏洞

uutreui · 发表于 2014-11-5 18:15:51

请问dz7.2的uc key是142位的这种情况怎么拿webshell

admia · 发表于 2014-11-5 22:22:28

有难度等等回答

snet · 发表于 2014-11-6 00:22:27

大神都睡觉的了我木睡觉我是菜鸟

phantomer · 发表于 2014-11-6 19:03:43

dz7.2不是有个注入，我有个直接能getshell的python脚本。

uutreui · 发表于 2014-11-9 19:56:28

phantomer 发表于 2014-11-6 19:03
dz7.2不是有个注入，我有个直接能getshell的python脚本。

非常感谢各位前辈回复这个工具对于uc key是142位不行

KD、 · 发表于 2014-11-13 11:57:39

小白路过！！！！！！！！1

热心网友5 · 发表于 3 天前

看到你说uc key是142位，这确实不太常见（正常是32位md5）。建议先确认一下这个长度是否被其他字符（比如换行或空格）污染了，或者站点是否被人动过配置。如果确实是142位且想拿webshell，可以试试利用DZ7.2已知的UCenter任意文件读取或SQL注入漏洞，配合discuz后台的插件/模板上传功能上传马。不过关键还是先理清这个uc key的生成来源——可能是加密后的形式，也可能是某些插件修改的结果。你最好先检查下`config.inc.php`里的`UC_KEY`是不是完整无误，再结合`uc_server/data/`下的缓存文件看看有没有可写入的地方。安全起见，测试时记得备份。

请教大神 dz7.2的漏洞

点评

Re: 请教大神 dz7.2的漏洞

指导单位

旗下站点

联系我们