最近在家做专职奶爸，不谙圈内事很多months了，博客也无更新。

昨夜带孩子整夜未眠，看到黑哥在php security群里关于phpmyadmin3漏洞的讨论，虽然之前没看过漏洞代码，不过前段时间还是在微博上看到wofeiwo的exp了，不过据黑哥说有不鸡肋的利用方法，于是夜里翻代码出来研究了翻，写出了这个冷饭exp，由于我搞的晚了，之前已经很多人研究了写exp了，于是我这个属于炒冷饭，权当研究研究打发时间了。

首先赞下wofeiwo的python版本的exp，再赞下wofeiwo跟superhei的钻研精神，学习的榜样啊。不过之前那个exp利用起来是有一些限制的：
一是session.auto_start = 1；
二是pma3默认代码里libraries目录已经用.htaccess控制了不允许访问。
当然还有第三点大家都不可以逾越的鸿沟：config目录存在且可写。

在群里看了黑哥的发言后，再看了下代码，发现前两点利用限制均可以无视。所以其实这个漏洞还真的可以不是那么鸡肋。

于是写了这个php版本的exp，代码如下：

目前php站点的安全配置基本是open_basedir+safemode，确实很无敌、很安全，即使在权限没有很好设置的环境中，这样配置都是相当安全的，当然了，不考虑某些可以绕过的情况。本文讨论两点开启open_basedir后可能导致的安全隐患（现实遇到的），一个也许属于php的一个小bug，另外一个可能是由于配置不当产生的。

一、open_basedir中处理文件路径时没有严格考虑目录的存在，这将导致本地包含或者本地文件读取的绕过。

看一个本地文件任意读取的例子：

三年半前写了一篇文章：《再试IIS写权限以及move为asp的问题》，当时还留下一点问题，此文就是用来解决当年遗留的问题的。

很多人也许觉得IIS PUT这玩意不值一提啊...其实不然，身在乙方，给客户做安服的时候总是遇到IIS写权限的问题，一方面WVS7.0已经可以扫描并且使用POC成功写入漏洞目标，另一方面无聊的土耳其或者印度尼西亚黑客总是喜欢利用写权限上传txt或者html到漏洞目标，以示对方的hack技术的强大。

目前大家所见到的IIS写权限利用，其实说白了是菜鸟管理员对IIS的错误配置问题（2个错误配置造成）：
1.WEB服务器扩展里设置WebDAV为允许；
2.网站权限配置里开启了写入权限。

至于WebDAV，看看百度百科的介绍：

WebDAV （Web-based Distributed Authoring and Versioning） 一种基于 HTTP 1.1协议的通信协议.它扩展了HTTP 1.1，在GET、POST、HEAD等几个HTTP标准方法以...

对于dz，我们比较关心的是拿shell，但dz的东西想拿shell太难太难了，上一篇文章的末尾铺垫了下，所以这篇文章也算不上马后炮了...这个漏洞已经在discuz! x1版本悄悄给补上了，但是7.2及以下含有uc接口的版本的均没有补。

这个漏洞其实也是老漏洞，去年大家就已经知道了，是二次写配置文件的漏洞，就是年初创始人通过后台ucenter拿shell漏洞的另外的利用办法。 很多人知道了，uc.php里的代码跟那个setting.inc.php相仿，但是dz官方在修复后台的时候没有同时对此进行修复，于是使这个漏洞一直存在至今。

当然，漏洞是依旧是鸡肋的，想要利用这个漏洞，必须满足两点条件：

1.必须知道UC_KEY，通常在配置文件里，或者ucenter的原始（没有经过修改的）数据库（应用）中；

2.配置文件config.inc.php必须可写。

好了，看看代码吧：

年初跟那个前台代码执行一起看到的，这个清晰明朗的代码执行，看到的人估计也不少，好在坚持了这么久一直没人公布，这大半年还用了很多次，可是...可是，最终还是有人忍不住要公布，要知道公布一个就少一个，以后的以后，你们靠什么去拿站呢？

这个后台执行也算对当时那个前台执行遗失的慰藉吧...好歹也存世大半年，怎么讲都还是有点欣慰的...不知道有入侵t00ls服务器的没，是不是很遗憾，t00ls后台年初已经补上这个漏洞了？

其实是老问题了，我也不做过多解释，各位看官有事没事接着挖x1的吧，一旦6.0、7.0、7.1、7.2都挖光了，遇到dz还是绕道吧...

好了，看代码，include/global.func.php：