作者:渣渣
这篇文章是渣渣学员写的,其实一定也不渣渣,接下来我们一起欣赏!
某次手贱打开了,一网站,乍一看还是灰鸽子的官网,几年没见灰鸽子的身影了。就有一种想拿下这个网站的冲动。
先看看能不能旁站 c段什么的 对dz论坛最有效了。
目测是用了cdn 权重还不错 seo弄的挺好的感觉(不会seo的路过)
来扫一扫有没有什么信息
没有什么信息
习惯性的在域名后面加域名加.rar
瞬间迅雷让我下载,借来的vip开起离线下
叮咚 迅雷就是好 一下就下载完了
我们来看看包里面是什么
是网站的整站信息
看看备份能不能读取到管理的密码
有备份的整站信息
我们去数据里面还原试试
有密码验证问题 且cmd5查询无果
有源码就有uc_key,uc_key在dz论坛中有大用详见乌云猪猪侠的文章
因为是x3.1的 我们无法用uc_key拿下shell那我们就先改管理的密码吧
在本机搭建dz论坛
去uc设置那里 保存 然后去工具更新缓存 然后就是修改admin了。
头像同步成功 然后清除问题 改密码。
登录成功
http://www.wooyun.org/bugs/wooyun-2014-053199
试试用这个方法能不能拿到shell
上次就是用这个方法拿下shell
经过测试貌似升级了 不能拿shell 蛋疼
渣渣说:这篇文章告诉我们dz论坛中uc_key的重要性,请各位站长保护好自己的uc_key
暗月说:渣渣,一点也不渣,出了一个大黑阔!
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论