您当前的位置: 在后台管理界面UCenter设置中,在管理员输入UCenter的密码时,对于用户的输入没有过滤,导致了输入的数据直接写入文件中,利用步骤如下:
1.首先,针对目标网站,需要找个可以访问的公网服务器搭建mysql,然后添加一个用户,并把密码设置成为“123');phpinfo();//”;
2.以管理员身份登录后台,进入站长—UCenter设置
3.此时修改UCenter连接数据库信息为之前在公网mysql添加的用户,这里为abc,123');phpinfo();//
此时配置文件已被成功修改
4.成功执行了phpinfo()
影响版本:
Discuz_X3.3_SC_GBK
Discuz_X3.3_SC_UTF8
Discuz_X3.3_TC_BIG5
Discuz_X3.3_TC_UTF8
Discuz_X3.2_SC_GBK
Discuz_X3.2_SC_UTF8
Discuz_X3.2_TC_BIG5
Discuz_X3.2_TC_UTF8
Discuz_X2.5_SC_GBK
Discuz_X2.5_SC_UTF8
Discuz_X2.5_TC_BIG5
Discuz_X2.5_TC_UTF8
修复方法,升级最新的Discuz_X3.4版本.