PW顽主
PW官方团队
PW官方团队
  • 发帖数1033
  • 铜币504两
  • 威望270点
  • 贡献10点
  • 注册日期2006-12-27
  • 最后登录2016-04-18
  • 社区居民
  • 社区明星
阅读:44594回复:74

[漏洞补丁]phpwind 9.0 可拿shell的高危漏洞(20140825)

楼主#
更多 发布于:2014-08-25 22:04
系统提示:关于phpwind产品的学习与交流已经迁移到阿里云论坛,请访问这里:https://bbs.aliyun.com/fourms.php?m=bbs&cateid=403
[PW顽主于2014-08-26 22:48编辑了帖子]
pone
论坛版主
论坛版主
  • 发帖数1187
  • 铜币22191两
  • 威望250点
  • 贡献0点
  • 注册日期2009-09-15
  • 最后登录2017-10-05
  • 社区居民
  • 忠实会员
  • 最爱沙发
沙发#
发布于:2014-08-25 23:04
系统提示:关于phpwind产品的学习与交流已经迁移到阿里云论坛,请访问这里:https://bbs.aliyun.com/fourms.php?m=bbs&cateid=403
终于有补丁了
元芳
总版主
总版主
  • 发帖数13516
  • 铜币64988两
  • 威望47108点
  • 贡献57217点
  • 注册日期2007-02-01
  • 最后登录2017-11-02
  • 终身成就奖
  • 诚信商户
  • 资深侠客
  • 资深版主
  • 社区运营大师
  • 模范会员奖
  • phpwind功勋
  • 热心助人奖
  • 原创先锋奖
  • 最佳建议奖
  • 特殊贡献奖
  • 宣传大使奖
  • 优秀版主奖
  • 民间侠客
  • 社区居民
  • 忠实会员
  • 最爱沙发
  • 社区明星
板凳#
发布于:2014-08-25 23:28
系统提示:关于phpwind产品的学习与交流已经迁移到阿里云论坛,请访问这里:https://bbs.aliyun.com/fourms.php?m=bbs&cateid=403
请大家尽快修复~
江枫月泊
初来乍到
初来乍到
  • 发帖数1
  • 铜币2两
  • 威望5点
  • 贡献0点
  • 注册日期2014-03-24
  • 最后登录2015-01-03
  • 社区居民
3楼#
发布于:2014-08-25 23:34
系统提示:关于phpwind产品的学习与交流已经迁移到阿里云论坛,请访问这里:https://bbs.aliyun.com/fourms.php?m=bbs&cateid=403
赞一个啊
queyuu
一星会员
一星会员
  • 发帖数99
  • 铜币226两
  • 威望7点
  • 贡献0点
  • 注册日期2012-12-12
  • 最后登录2015-05-12
4楼#
发布于:2014-08-25 23:55
系统提示:关于phpwind产品的学习与交流已经迁移到阿里云论坛,请访问这里:https://bbs.aliyun.com/fourms.php?m=bbs&cateid=403
顽主,你网站也挂了  ,,,都超负荷打不开了、、、、、、、timegoo。com
魅柒
论坛版主
论坛版主
  • 发帖数1775
  • 铜币17041两
  • 威望934点
  • 贡献0点
  • 注册日期2012-07-14
  • 最后登录2017-09-25
  • 社区居民
  • 忠实会员
  • 最爱沙发
  • 社区明星
5楼#
发布于:2014-08-26 02:01
系统提示:关于phpwind产品的学习与交流已经迁移到阿里云论坛,请访问这里:https://bbs.aliyun.com/fourms.php?m=bbs&cateid=403
已经验证,的确可以前台getshell,但是对这个修复方案,我只能呵呵了~~咱能认真的修复下不?文件已经花了两个小时研究,花了半个小时验证这枚bug!!
天堂没有雨天
总版主
总版主
  • 发帖数19995
  • 铜币928249两
  • 威望1072103点
  • 贡献59252点
  • 注册日期2010-04-10
  • 最后登录2017-11-26
  • 热心助人奖
  • 模范会员奖
  • 原创先锋奖
  • 优秀版主奖
  • 忠实会员
  • 社区居民
  • 社区明星
  • 最爱沙发
6楼#
发布于:2014-08-26 09:14
系统提示:关于phpwind产品的学习与交流已经迁移到阿里云论坛,请访问这里:https://bbs.aliyun.com/fourms.php?m=bbs&cateid=403
终于出补丁了。。
chimney
PW moblie内测组
PW moblie内测组
  • 发帖数1310
  • 铜币8147两
  • 威望214点
  • 贡献20点
  • 注册日期2005-09-03
  • 最后登录2017-12-06
  • 社区居民
7楼#
发布于:2014-08-26 10:22
系统提示:关于phpwind产品的学习与交流已经迁移到阿里云论坛,请访问这里:https://bbs.aliyun.com/fourms.php?m=bbs&cateid=403
以前的版本会被影响吗,比如8.7?
lllmcf
初来乍到
初来乍到
  • 发帖数5
  • 铜币108两
  • 威望16点
  • 贡献0点
  • 注册日期2012-06-01
  • 最后登录2015-02-25
8楼#
发布于:2014-08-26 10:28
系统提示:关于phpwind产品的学习与交流已经迁移到阿里云论坛,请访问这里:https://bbs.aliyun.com/fourms.php?m=bbs&cateid=403
这个一定是好东西
阿萨德大
禁止发言
禁止发言
  • 发帖数1115
  • 铜币1719两
  • 威望-4点
  • 贡献0点
  • 注册日期2013-07-08
  • 最后登录2015-03-03
9楼#
发布于:2014-08-26 10:41
系统提示:关于phpwind产品的学习与交流已经迁移到阿里云论坛,请访问这里:https://bbs.aliyun.com/fourms.php?m=bbs&cateid=403
用户被禁言,该主题自动屏蔽!
PW顽主
PW官方团队
PW官方团队
  • 发帖数1033
  • 铜币504两
  • 威望270点
  • 贡献10点
  • 注册日期2006-12-27
  • 最后登录2016-04-18
  • 社区居民
  • 社区明星
10楼#
发布于:2014-08-26 10:48
系统提示:关于phpwind产品的学习与交流已经迁移到阿里云论坛,请访问这里:https://bbs.aliyun.com/fourms.php?m=bbs&cateid=403
魅柒:已经验证,的确可以前台getshell,但是对这个修复方案,我只能呵呵了~~咱能认真的修复下不?文件已经花了两个小时研究,花了半个小时验证这枚bug!!回到原帖
能说说“呵呵”的具体原因吗?
PW顽主
PW官方团队
PW官方团队
  • 发帖数1033
  • 铜币504两
  • 威望270点
  • 贡献10点
  • 注册日期2006-12-27
  • 最后登录2016-04-18
  • 社区居民
  • 社区明星
11楼#
发布于:2014-08-26 10:49
系统提示:关于phpwind产品的学习与交流已经迁移到阿里云论坛,请访问这里:https://bbs.aliyun.com/fourms.php?m=bbs&cateid=403
chimney:以前的版本会被影响吗,比如8.7?回到原帖
没有影响,9.0是完全独立的版本
魅柒
论坛版主
论坛版主
  • 发帖数1775
  • 铜币17041两
  • 威望934点
  • 贡献0点
  • 注册日期2012-07-14
  • 最后登录2017-09-25
  • 社区居民
  • 忠实会员
  • 最爱沙发
  • 社区明星
12楼#
发布于:2014-08-26 11:11
系统提示:关于phpwind产品的学习与交流已经迁移到阿里云论坛,请访问这里:https://bbs.aliyun.com/fourms.php?m=bbs&cateid=403
PW顽主:能说说“呵呵”的具体原因吗?回到原帖
这样吧~~我看了,里面有一处是之前补丁改的,使用了file_get_contents函数,这个补丁中改回beta版了那个类库封装的函数,然后就是那个key的生成,新增了mac参数,没错吧?key泄露不是只加几个参数,和验证post源就能解决的~~这个也就只是暂时~~我不是白帽子,所以没用测试更新参数,坐等高手在此提交~~而且getshell的问题是从头像那个地方出来的,明文key貌似不妥~~
魅柒
论坛版主
论坛版主
  • 发帖数1775
  • 铜币17041两
  • 威望934点
  • 贡献0点
  • 注册日期2012-07-14
  • 最后登录2017-09-25
  • 社区居民
  • 忠实会员
  • 最爱沙发
  • 社区明星
13楼#
发布于:2014-08-26 11:17
系统提示:关于phpwind产品的学习与交流已经迁移到阿里云论坛,请访问这里:https://bbs.aliyun.com/fourms.php?m=bbs&cateid=403
PW顽主:能说说“呵呵”的具体原因吗?回到原帖
再补充一点,乌云给的细节链接别直接发这里,不然会有居心叵测之人恶意黑站~~可以给出乌云给用户的链接,而不是乌云给厂商额链接~~这样大张旗鼓的吧方法放出来是对用户的不负责~~
音悦蓝宇
禁止发言
禁止发言
  • 发帖数102
  • 铜币56两
  • 威望-106点
  • 贡献0点
  • 注册日期2014-06-14
  • 最后登录2014-12-25
  • 社区居民
14楼#
发布于:2014-08-26 15:33
系统提示:关于phpwind产品的学习与交流已经迁移到阿里云论坛,请访问这里:https://bbs.aliyun.com/fourms.php?m=bbs&cateid=403
用户被禁言,该主题自动屏蔽!
上一页
游客

返回顶部