但是由于上传成功后,Discuz并不会返回shell的文件名的和路径,因此需要借助注入漏洞来猜解文件的路径,因此上传漏洞的成功利用还需要借助注入的辅助。
安全建议:
1 下载官方补丁或下载最新的Discuz版本程序使用;
2 直接用网站保护系统,可以无需补丁。
对于没有第一时间打上补丁的网站,很容易成为黑客的攻击目标,从而导致网站被入侵或数据被删除,或者沦为黑客的肉鸡;笔者有幸拿到了Nevel网站保护系统的邀请码,对于加入Nevel保护的网站,则完全不用担心这些问题,因为当攻击者尝试提交这些恶意代码的时候,Nevel会检测到这些攻击代码,当检测到这些代码的时候直接将这些数据丢弃,并不会传到你的服务器进行响应,也就不会产生安全,更不会被入侵;下面是对加入Nevel保护的网站进行攻击的效果图,如下图:
