DZ论坛最新爆路径0DAY

暗月博客
暗月博客
暗月博客
809
文章
0
评论
2019年11月21日20:23:24评论654 views字数 1905阅读6分21秒阅读模式
摘要

这个文件dz3 3.1都会存在 只要最新安装dz论坛都会存在。 <?php $gj_config = array( 'url_server' => 'http://openapi.guanjia.qq.com/fcgi-bin/urlquery?appid=10003&query_type=1&host=' . $_SERVER["HTTP_HOST"], 'appid' => 10003, 'appkey' => '006556a253d9f4ac540c53a4734fbfc2' ); main($gj_config); function main($gj_config){ $data = explode('|', $_POST['content']); array_remove_empty($data); $url_num = count($data); $post_data = ''; foreach($data as $info){ $tmp = explode('^', $info); if(empty($tmp[0])) continue; echo $post_data .= 'urlinfo=' . urlencode(base64_encode('url=' . urlencode($tmp[0]) . '&urlSeq=' . $tmp[1])) . '&'; } echo 'gj_plugin_function.gettype_callback_a(' . check_url($gj_config, $post_data, $url_num) . ')'; } func tion get_appsig($config, $data){</p><p>//www.moonsafe.com <a href="http://www.moonsec.com">www.moonsec.com</a> $data_len = strlen($data); $str_md5 = md5(pack('I', $config['appid']) . $config['appkey'] . pack('I', $data_len)); $buffer1 = $str_md5 . pack('I', $data_len); $buffer2 = pack('I', $config['appid']) . $config['appkey']; $sig = $buffer1 ^ $buffer2; return urlenc ode(base64_enc ode($sig)); } function check_url($config, $data, $url_num){ $server = $config['url_server'] . '&appsig=' . get_appsig($config, $data); return connect($server, $data, $url_num); } function connect($server, $data, $url_num){ $context = array( 'http'=>array( 'method'=> 'POST', 'header'=> 'Content-Type: application/x-www-form-urlencoded'."/r/n", 'content'=> $data ) ); $stream_context = stream_context_create($context); $ret = file_get_contents($server . '&urlNum=' . $url_num, FALSE, $stream_context); return $ret; } function array_remove_empty(& $arr, $trim = true){ foreach ($arr as $key => $value) { if (is_array($value)) { array_remove_empty($arr[$key]); } else { $value = trim($value); if ($value == '') { unset($arr[$key]); } elseif ($trim) { $arr[$key] = $value; } } } } ?> 这个文件还没做防跳狗操作 访问文件 不存在函数,php肯定会报错。所以就会获取网站路径。
如果有些人 利用起来 为什么目标站不报错,难度修补了?或者就前来喷。真的很恶心。
所以在这里表达一下,php.ini 开启了屏蔽错误,肯定就不报错了,例如本论坛。
为防止还有些人前来喷,所以发了个高清大图

作者:mOon

PS:有谁想学代码审计 请联系mOon
正文:
DZ插件目录下的
/source/plugin/pcmgr_url_safeguard/url_api.inc.php

这个文件dz3 3.1都会存在 只要最新安装dz论坛都会存在。 

<?php             $gj_config = array(                     'url_server' => 'http://openapi.guanjia.qq.com/fcgi-bin/urlquery?appid=10003&query_type=1&host=' . $_SERVER["HTTP_HOST"],                     'appid' => 10003,                     'appkey' => '006556a253d9f4ac540c53a4734fbfc2'             );              main($gj_config);              function main($gj_config){                     $data = explode('|', $_POST['content']);                     array_remove_empty($data);                     $url_num = count($data);                      $post_data = '';                     foreach($data as $info){                             $tmp = explode('^', $info);                             if(empty($tmp[0])) continue;                              echo $post_data .= 'urlinfo=' . urlencode(base64_encode('url=' . urlencode($tmp[0]) . '&urlSeq=' . $tmp[1])) . '&';                     }                      echo 'gj_plugin_function.gettype_callback_a(' . check_url($gj_config, $post_data, $url_num) . ')';             }              function get_appsig($config, $data){</p><p>//www.moonsafe.com <a href="http://www.moonsec.com">www.moonsec.com</a>                     $data_len = strlen($data);                     $str_md5 = md5(pack('I', $config['appid']) . $config['appkey'] . pack('I', $data_len));                     $buffer1 = $str_md5 . pack('I', $data_len);                     $buffer2 = pack('I', $config['appid']) . $config['appkey'];                     $sig = $buffer1 ^ $buffer2;                     return urlencode(base64_encode($sig));             }              function check_url($config, $data, $url_num){                     $server = $config['url_server'] . '&appsig=' . get_appsig($config, $data);                     return connect($server, $data, $url_num);             }              function connect($server, $data, $url_num){                     $context = array(                     'http'=>array(                         'method'=> 'POST',                         'header'=> 'Content-Type: application/x-www-form-urlencoded'."/r/n",                         'content'=> $data                     )                 );                     $stream_context = stream_context_create($context);                     $ret = file_get_contents($server . '&urlNum=' . $url_num, FALSE, $stream_context);                     return $ret;             }              function array_remove_empty(& $arr, $trim = true){                 foreach ($arr as $key => $value) {                     if (is_array($value)) {                         array_remove_empty($arr[$key]);                     } else {                     $value = trim($value);                         if ($value == '') {                             unset($arr[$key]);                         } elseif ($trim) {                             $arr[$key] = $value;                         }                     }                 }             }     ?>

这个文件还没做防跳狗操作 访问文件 不存在函数,php肯定会报错。所以就会获取网站路径。
如果有些人 利用起来 为什么目标站不报错,难度修补了?或者就前来喷。真的很恶心。
所以在这里表达一下,php.ini开启了屏蔽错误,肯定就不报错了,例如本论坛。
为防止还有些人前来喷,所以发了个高清大图

DZ论坛最新爆路径0DAY

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
暗月博客
  • 本文由 发表于 2019年11月21日20:23:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   DZ论坛最新爆路径0DAYhttps://cn-sec.com/archives/71648.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息