阿里提示Discuz memcache+ssrf GETSHELL漏洞的解决方法

小渣渣

很多同学肯定都收到阿里云提示discuz memcache+ssrf GETSHELL漏洞的相关说明，但购买阿里云云盾安骑士最少需要支付100块钱，下面我就在站帮网给大家分享下如何来解决Discuz memcache+ssrf GETSHELL漏洞的问题。

该漏洞描述：discuz存在SSRF漏洞，在配置了memcache的情况下，攻击者可以利用ssrf通过memcache中转，向磁盘上写入WEBSHELL恶意代码，从而造成数据库泄漏

利用云盾安骑士修复/source/function/function_core.php，大家不需要在去购买用下面文件覆盖即可。

下面是修复完成后的截图：



由于，是自己修复的，阿里云会提示“漏洞文件被修改”，

修复原理，在function_core.php的1089行，修改一下两句话：

1. if (preg_match("(/|#|\+|%).*(/|#|\+|%)e", $_G['setting']['output']['preg']['search']) !== FALSE) { die("request error"); }
   
2.                 $content = preg_replace($_G['setting']['output']['preg']['search'], $_G['setting']['output']['preg']['replace'], $content);

复制代码

懒人包下载：


function_core_gbk.rar (18.19 KB, 下载次数: 20)

2016-6-8 11:58 上传

点击文件名下载附件

function_core_utf.rar (18.21 KB, 下载次数: 4)

2016-6-8 11:58 上传

点击文件名下载附件

test136

正在找这个

顾言

我的前两天一直给我发邮件给我说这个漏洞的问题

43732099

好东西啊啊