DZ论坛最新爆路径0DAY

2019年11月21日20:23:24评论653 views字数 1905阅读6分21秒阅读模式

摘要

这个文件dz3 3.1都会存在只要最新安装dz论坛都会存在。 <?php $gj_config = array( 'url_server' => 'http://openapi.guanjia.qq.com/fcgi-bin/urlquery?appid=10003&query_type=1&host=' . $_SERVER["HTTP_HOST"], 'appid' => 10003, 'appkey' => '006556a253d9f4ac540c53a4734fbfc2' ); main($gj_config); function main($gj_config){ $data = explode('|', $_POST['content']); array_remove_empty($data); $url_num = count($data); $post_data = ''; foreach($data as $info){ $tmp = explode('^', $info); if(empty($tmp[0])) continue; echo $post_data .= 'urlinfo=' . urlencode(base64_encode('url=' . urlencode($tmp[0]) . '&urlSeq=' . $tmp[1])) . '&'; } echo 'gj_plugin_function.gettype_callback_a(' . check_url($gj_config, $post_data, $url_num) . ')'; } func tion get_appsig($config, $data){</p><p>//www.moonsafe.com <a href="http://www.moonsec.com">www.moonsec.com</a> $data_len = strlen($data); $str_md5 = md5(pack('I', $config['appid']) . $config['appkey'] . pack('I', $data_len)); $buffer1 = $str_md5 . pack('I', $data_len); $buffer2 = pack('I', $config['appid']) . $config['appkey']; $sig = $buffer1 ^ $buffer2; return urlenc ode(base64_enc ode($sig)); } function check_url($config, $data, $url_num){ $server = $config['url_server'] . '&appsig=' . get_appsig($config, $data); return connect($server, $data, $url_num); } function connect($server, $data, $url_num){ $context = array( 'http'=>array( 'method'=> 'POST', 'header'=> 'Content-Type: application/x-www-form-urlencoded'."/r/n", 'content'=> $data ) ); $stream_context = stream_context_create($context); $ret = file_get_contents($server . '&urlNum=' . $url_num, FALSE, $stream_context); return $ret; } function array_remove_empty(& $arr, $trim = true){ foreach ($arr as $key => $value) { if (is_array($value)) { array_remove_empty($arr[$key]); } else { $value = trim($value); if ($value == '') { unset($arr[$key]); } elseif ($trim) { $arr[$key] = $value; } } } } ?> 这个文件还没做防跳狗操作访问文件不存在函数，php肯定会报错。所以就会获取网站路径。
如果有些人利用起来为什么目标站不报错，难度修补了？或者就前来喷。真的很恶心。
所以在这里表达一下，php.ini 开启了屏蔽错误，肯定就不报错了，例如本论坛。
为防止还有些人前来喷，所以发了个高清大图

作者：mOon

PS:有谁想学代码审计请联系mOon
正文：
DZ插件目录下的
/source/plugin/pcmgr_url_safeguard/url_api.inc.php

这个文件dz3 3.1都会存在只要最新安装dz论坛都会存在。

<?php             $gj_config = array(                     'url_server' => 'http://openapi.guanjia.qq.com/fcgi-bin/urlquery?appid=10003&query_type=1&host=' . $_SERVER["HTTP_HOST"],                     'appid' => 10003,                     'appkey' => '006556a253d9f4ac540c53a4734fbfc2'             );              main($gj_config);              function main($gj_config){                     $data = explode('|', $_POST['content']);                     array_remove_empty($data);                     $url_num = count($data);                      $post_data = '';                     foreach($data as $info){                             $tmp = explode('^', $info);                             if(empty($tmp[0])) continue;                              echo $post_data .= 'urlinfo=' . urlencode(base64_encode('url=' . urlencode($tmp[0]) . '&urlSeq=' . $tmp[1])) . '&';                     }                      echo 'gj_plugin_function.gettype_callback_a(' . check_url($gj_config, $post_data, $url_num) . ')';             }              function get_appsig($config, $data){</p><p>//www.moonsafe.com <a href="http://www.moonsec.com">www.moonsec.com</a>                     $data_len = strlen($data);                     $str_md5 = md5(pack('I', $config['appid']) . $config['appkey'] . pack('I', $data_len));                     $buffer1 = $str_md5 . pack('I', $data_len);                     $buffer2 = pack('I', $config['appid']) . $config['appkey'];                     $sig = $buffer1 ^ $buffer2;                     return urlencode(base64_encode($sig));             }              function check_url($config, $data, $url_num){                     $server = $config['url_server'] . '&appsig=' . get_appsig($config, $data);                     return connect($server, $data, $url_num);             }              function connect($server, $data, $url_num){                     $context = array(                     'http'=>array(                         'method'=> 'POST',                         'header'=> 'Content-Type: application/x-www-form-urlencoded'."/r/n",                         'content'=> $data                     )                 );                     $stream_context = stream_context_create($context);                     $ret = file_get_contents($server . '&urlNum=' . $url_num, FALSE, $stream_context);                     return $ret;             }              function array_remove_empty(& $arr, $trim = true){                 foreach ($arr as $key => $value) {                     if (is_array($value)) {                         array_remove_empty($arr[$key]);                     } else {                     $value = trim($value);                         if ($value == '') {                             unset($arr[$key]);                         } elseif ($trim) {                             $arr[$key] = $value;                         }                     }                 }             }     ?>

这个文件还没做防跳狗操作访问文件不存在函数，php肯定会报错。所以就会获取网站路径。
如果有些人利用起来为什么目标站不报错，难度修补了？或者就前来喷。真的很恶心。
所以在这里表达一下，php.ini开启了屏蔽错误，肯定就不报错了，例如本论坛。
为防止还有些人前来喷，所以发了个高清大图

左青龙
微信扫一扫

右白虎
微信扫一扫

DZ论坛最新爆路径0DAY

PHP 函数漏洞总结

xise菜刀的密文解密工具

逆向工程学习第一天--一个VC6编译的小程序

从后台弱口令到内网漫游

Burp Suite Professional 2.1.05 最新版本下载

Hacking Oracle PART 1

分享一款失败的国产加密勒索软件

NSO到底是个什么样的公司？揭秘三叉戟0day的缔造者

GitHub上10个最受欢迎的安全项目

齐博CMS splitword.php后门解密

发表评论

在线咨询

微信