文章内容

DZ7.1 and 7.2 0远程代码执行漏洞获取Webshell(1)

发布时间: 2012/7/7 15:51:24

Crossday Discuz! Board 论坛系统（简称 Discuz! 论坛）是一个采用 PHP 和 MySQL 等其它多种数据库构建的高效论坛解决方案。作为商业软件产品， Discuz! 在代码质量，运行效率，负载能力，安全等级，功能可操控性和权限严密性等方面有着良好的口碑。对于站长而言，利用 Discuz! 均能够在最短的时间内，花费最低的费用，采用最少的人力，架设一个性能优异、功能全面、安全稳定的社区论坛平台。它能运行于Windows平台和Linux平台，目前已经有超过100万的用户。在本文以前Discuz! 论坛即时有漏洞也因为种种原因难以获取Webshell，而本次出现的漏洞只要是注册用户即可轻松获取Webshell。在Discuz！ 7.1与7.2版本中的showmessage函数，由于eval中执行的参数未初始化，可以任意提交，从而可以执行任意PHP命令。该漏洞的首发是T00ls核心团队，下面来分析下这个远程代码执行漏洞，这个问题真的很严重，可以直接写shell。
本文出自：亿恩科技【www.enkj.com】

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]