txfzq 发表于 2008 年 6 月 6 日 15:10:43

phpwind管理权限泄露漏洞

漏洞发布: http://www.80sec.com/
漏洞作者: jianxin@80sec.com
漏洞厂商: http://www.phpwind.com/本漏洞影响phpwind所有版本
漏洞危害: 高
漏洞说明: phpwind是国内使用非常广泛的一款程序,由于在程序设计上存在错误,导致任何人可以取得前台管理员及斑主权限,做删除帖子等任意操作
利用方式: http://www.80sec.com有提供exploit测试
漏洞分析: 由于phpwind论坛在设计上对数据库存储机制不了解,导致在程序逻辑上判断有问题,用精心构造的数据注册用户即可获得管理权限
漏洞修补: 建议关闭注册功能等待官方出补丁
漏洞状态: 08.5.25发现此漏洞,08.6.1由80sec.com公开此漏洞,暂无补丁
原始地址:http://www.80sec.com/release/phpwind-exploit.txt

飞狼 发表于 2008 年 6 月 6 日 15:12:17

phpbb 安全性如何?
要不是DZ不支持多语言界面,我也不会去用phpbb,感觉phpbb的设计理念很脑残:L

txfzq 发表于 2008 年 6 月 6 日 15:16:50

原帖由 飞狼 于 2008-6-6 15:12 发表 http://www.jgwy.net/images/common/back.gif
phpbb 安全性如何?
要不是DZ不支持多语言界面,我也不会去用phpbb,感觉phpbb的设计理念很脑残:L

phpbb只安过,没用过,我一直用DZ的古董版本2.5

wxinlin 发表于 2008 年 6 月 6 日 15:20:28

怎么利用?

txfzq 发表于 2008 年 6 月 6 日 15:21:55

小和尚想干坏事去吗?:lol

tigerlwy 发表于 2008 年 6 月 6 日 15:31:36

咋利用呢

很明显 发表于 2008 年 6 月 6 日 15:37:52

exploit

xrea我家開的 发表于 2008 年 6 月 6 日 15:39:31

:lol 学点programing没坏处阿
很多code多少看的懂;P

阿超 发表于 2008 年 6 月 6 日 16:08:40

:L
页: [1]
查看完整版本: phpwind管理权限泄露漏洞