Discuz!官方免费开源建站系统

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索

【补丁已出】DX1.5的notify_credit.php的注入漏洞今天又出新的攻击代码了

[复制链接]
ihipop 发表于 2011-6-3 17:38:12 | 显示全部楼层 |阅读模式
本帖最后由 ihipop 于 2011-6-4 11:15 编辑

官方确实已经修复了该问题

分析见 http://ihipop.info/2011/06/2484.html#Update


请站长打补丁 速度。

只是奇怪为什么这么严重的漏洞 官方6月2号凌晨才在后台提示一个已经早就出了几个月的补丁。。。。。。{:soso_e101:}

无效楼层,该帖已经被删除
MoiRa丶岛 发表于 2011-6-3 18:19:33 | 显示全部楼层
新人游过.. 听天由命吧。
回复

使用道具 举报

sw08 发表于 2011-6-3 19:36:05 | 显示全部楼层
还是升级吧
回复

使用道具 举报

lone0922 发表于 2011-6-3 19:42:49 | 显示全部楼层
我已經被黑了....
回复

使用道具 举报

rety2008 发表于 2011-6-3 19:43:17 | 显示全部楼层
该漏洞已于3月22提供补丁修复,但由于部分站长仍未补丁,由于此转载为exp全文,为了不必要的误会以及传播,影响到仍旧未补丁的站长或造成其他用户的误会,对此漏洞1分通过,暂不忽略或公开。
回复

使用道具 举报

 楼主| ihipop 发表于 2011-6-3 23:16:04 | 显示全部楼层
本帖最后由 ihipop 于 2011-6-3 23:36 编辑
rety2008 发表于 2011-6-3 19:43
该漏洞已于3月22提供补丁修复,但由于部分站长仍未补丁,由于此转载为exp全文,为了不必要的误会以及传播, ...
  1. $Id: notify_credit.php 10986 2010-05-19 05:41:21Z monkey $
复制代码
  1. $Id: notify_credit.php 22075 2011-04-21 06:18:59Z cnteacher $
复制代码
两者的区别是
  1. header('location: '.$_G['siteurl'].'forum.php?mod=misc&action=paysucceed');
复制代码
  1. dheader('location: '.$_G['siteurl'].'forum.php?mod=misc&action=paysucceed');
复制代码

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复

使用道具 举报

 楼主| ihipop 发表于 2011-6-3 23:29:33 | 显示全部楼层
rety2008 发表于 2011-6-3 19:43
该漏洞已于3月22提供补丁修复,但由于部分站长仍未补丁,由于此转载为exp全文,为了不必要的误会以及传播, ...

2010-05-19的那个文件和2011-04-21(0428补丁) 的那个文件
这两个文件除了那个dheader不一样
除了文件标识号和日期不一样
其他都一样
而dheader只是对header的一个小包装函数而已,和SQL注入应该没有半毛钱关系吧?
官方说修复了?修在哪里了?
回复

使用道具 举报

 楼主| ihipop 发表于 2011-6-3 23:31:38 | 显示全部楼层
rety2008 发表于 2011-6-3 19:43
该漏洞已于3月22提供补丁修复,但由于部分站长仍未补丁,由于此转载为exp全文,为了不必要的误会以及传播, ...

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复

使用道具 举报

rety2008 发表于 2011-6-4 00:09:15 | 显示全部楼层
呃。。

我不是官方。。

我只是转发别处的。。。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Discuz! 官方站 ( 皖ICP备16010102号 )star

GMT+8, 2024-3-29 18:34 , Processed in 0.110184 second(s), 23 queries , Gzip On.

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表