很多人有了，流传出来了，然后发出来。现在的漏洞，如果主动公布的，肯定是“无鸡肋不公布”，否则肯定是藏着，除非别人公布了。DZ的鸡肋在于需要创建者的权限（创建者的密码一般比较难搞），pw的鸡肋在于需要截断（或者linux旁注写一个shell到tmp下）。

一、discuz后台settings.inc.php中写shell漏洞：

漏洞详情：

首先说一下，漏洞是t00ls核心群传出去的，xhming先去读的，然后我后来读的，读出来的都是代码执行，1月5日夜里11点多钟，在核心群的黑客们的要求下，xhming给了个poc，我给了个exp，确实发现的是同一个问题。截止夜里2点多种我下线，还只有t00ls核心群里几个人知道我给出的exp，可我怎么也想不到，经过半天时间，exp就满天飞了，而且确实出自昨天我的那个版本。

不难想象，exp流传的速度，A与B关系好，A发给B；B与C是好朋友，B发给C...总有人耐不住性子，泄露点风声，于是就人手一份。最受不了的是，竟然有些SB在群里拿来叫卖；实在不想说什么，要叫卖什么时候轮到你？人心不古，以后有的话还是自己藏着吧。

上午漏洞告诉了Saiy，DZ官方的补丁很快就出来了吧。

特别说明：产生漏洞的$scriptlang数组在安装插件后已经初始化，因此有安装插件的用户不受影响。

漏洞介绍：

Discuz！新版本7.1与7.2版本中的showmessage函数中eval中执行的参数未初始化，可以任意提交，从而可以执行任意PHP命令。

漏洞分析：

下面来分析下这个远程代码执行漏洞，这个问题真的很严重，可以直...

曾经需要一款dz论坛的版主考勤系统，寻觅了很久，官网论坛、各大搜索引擎，没能发现，没办法，只好自己来了，5月份写完的1.0版本，在我的仙剑论坛：http://www.moujian.com/bbs测试了下，发现了许多问题，于是整体修改了下，于是有了1.1版本，目前使用的很好，没有什么问题。因此决定共享给大家使用，使之收益于广大dz论坛站长。

一、本插件全称：团队展示版主考勤系统V1.1 FOR DISCUZ! 7.0 GBK

二、主要功能：
1.论坛管理团队展示及统计，从版主超版管理员到自定义管理组，所有管理者的信息都可以向广大会员公开展示；
2.版主每日签到考勤；
3.版主每月管理奖励颁发；
4.不合格版主自动开除。

三、详细信息：
1.每月共需签到的次数由管理员后台定义，如果您的签到次数+请假天数少于系统要求签到天数，则月末会计入缺席天数里；
2.缺席时间计算公式：缺席时间=系统设定签到次数-实际签到次数-请假天数；
3.如果不能来签到，可以请假一次，最大请假天数由管理员后台定义；
4.如果版主总共的缺席天数大于0，唯...