tsungchi
2001-03-26, 03:24 PM
使用 PHP-Nuke 架站的朋友要注意一下,PHP-Nuke 裡有個,可讓任何人讀取你系統內的檔案資料。
以下為此漏洞使用方法:
http://XXXXXXXXXXXXXXXXXXXXXXXXXXX
修正(opendir.php):
將底下這幾行
<quote opendir.php>
(...)
$REQUEST_URI = strip_tags($REQUEST_URI);
$res = explode("$PHP_SELF?", $REQUEST_URI);
$odp_cat = $res[1];
if (substr($odp_cat,0,1) == "/") $odp_cat = substr($odp_cat,1);
(define $requesturl)
(...)
</quote>
改為
<quote>
$requesturl="";
</quote>
來源: http://www.securiteam.com/
以下為此漏洞使用方法:
http://XXXXXXXXXXXXXXXXXXXXXXXXXXX
修正(opendir.php):
將底下這幾行
<quote opendir.php>
(...)
$REQUEST_URI = strip_tags($REQUEST_URI);
$res = explode("$PHP_SELF?", $REQUEST_URI);
$odp_cat = $res[1];
if (substr($odp_cat,0,1) == "/") $odp_cat = substr($odp_cat,1);
(define $requesturl)
(...)
</quote>
改為
<quote>
$requesturl="";
</quote>
來源: http://www.securiteam.com/