VPS侦探论坛

 找回密码
 注册
查看: 221|回复: 5

军哥看下,反馈一个重要的问题

[复制链接]
发表于 2020-6-3 13:06:42 | 显示全部楼层 |阅读模式



  一直使用军哥的环境,这次新搬家,重新装的lnmp1.6版,搬家完后发现dz3.4论坛后台里的ucenter无法正常访问了!

现象是:
论坛后台点击ucenter访问,显示的是一个嵌套下的论坛后台,也就是说你访问后台后再点ucenter会在网站后台画面嵌套又出现一个一样的ucenter


网上各种网罗后发现有人遇到了一样的问题,贴出原因和解决方法如下:




原来lnmp.org默认是把 pathinfo 关闭的?把PHP的PATH_INFO打开就可以了。

方法是:
nginx默认是不会设置PATH_INFO环境变量的的值,需要php使用cgi.fix_pathinfo=1来完成路径信息的获取,但同时会带来安全隐患,需要把cgi.fix_pathinfo=0设置为0,这样php就获取不到PATH_INFO信息,那些依赖PATH_INFO进行URL美化的程序就失效了。

php.ini 里面 cgi.fix_pathinfo=1 即可





但是科普后发现填写1会有很大危害,容易被入侵挂马!如下:
举例来说,开启的危害就是假设你的网站有这样的一张图片,我通过/foo.php就可以查看到这个文件的二进制内容,意思就是可以通过php来执行它.问题就来了,如果你的网站允许用户上传图片,那么用户就可以构造一些恶意的代码,并伪装成图片上传.然后通过上面说的那种方式就可以在你网站的服务器上面通过php跑恶意代码了.




希望军哥能出一个解决方案,技能让ucenter正常访问又能杜绝这个危害!



美国VPS推荐: 遨游主机LinodeLOCVPSKVMLAVPS2EZ搬瓦工80VPSVultr美国VPS主机中国VPS推荐: 阿里云腾讯云。LNMP付费服务(代装/问题排查)QQ 503228080
发表于 2020-6-3 17:03:18 | 显示全部楼层


discuz x 后台ucenter是嵌套,但是和cgi.fix_pathinfo没关系
我这discuz x也从discuz 6.0一直到discuz x 3.4也是一路搬过来的,配置文件和环境都是lnmp直接生成的
你这不能访问具体是什么错误信息或什么表现?
Linux下Nginx+MySQL+PHP自动安装工具:https://lnmp.org
 楼主| 发表于 2020-6-3 21:37:55 | 显示全部楼层



licess 发表于 2020-6-3 17:03
discuz x 后台ucenter是嵌套,但是和cgi.fix_pathinfo没关系
我这discuz x也从discuz 6.0一直到discuz x 3. ...

我不清楚有什么关联,但是作者是那样解决的,我照着操作后问题确实解决了。
所谓的嵌套不是说ucenter是dz后台里的一部分的意思,这里你要看明白。
而是点击ucenter应该是画面转成ucenter的后台,但是没有转成,而是dz后台的模样不变,但是里面内容又有一个dz后台的样子在里面,是这样的嵌套!

直接域名+uc_server访问应该是ucenter后台才对是吧,但是显示的是dz后台不是ucenter后台。

我也是一直使用lnmp+论坛,直到这次搬迁到阿里云,偶然发现了这个问题,因为不常用ucenter。
我也确实是那个方法解决的,具体的我也不明白,觉得有用就来反馈了。
既然有博主跟我是一样的情况,就说明不是个例,提供给军哥看看能不能两全其美

美国VPS推荐: 遨游主机LinodeLOCVPSKVMLAVPS2EZ搬瓦工80VPSVultr美国VPS主机中国VPS推荐: 阿里云腾讯云。LNMP付费服务(代装/问题排查)QQ 503228080
发表于 2020-6-4 09:58:24 | 显示全部楼层



你那边php是什么版本,是否改动过配置文件
我这边测试复现不了问题,无法确定什么问题也无法给出具体的解决方法
你说的cgi.fix_pathinfo漏洞的利用方法,即使是改成0也是不会执行的,你可以在你自己的环境里测试
Linux下Nginx+MySQL+PHP自动安装工具:https://lnmp.org
 楼主| 发表于 2020-6-10 23:53:34 | 显示全部楼层

不好意思军哥好几天没有上线了
PHP版本7.0.33
看到说是高版本php不会有问题,我也不确定这个版本7.0.33能不能行

美国VPS、VPN、域名代购:http://shop63846532.taobao.com/

发表于 2020-6-11 08:38:59 | 显示全部楼层

php 7.0是存在感最低的版本,不像php 5.6兼容性强,性能什么的不如php 7.2+等还支持的版本
discuz x 3.4的话直接上php 7.2或以上版本就行了
是不是存在漏洞,都有漏洞利用方法一测便知
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|VPS侦探 ( 鲁ICP备16040043号-1 )

GMT+8, 2020-7-7 23:41 , Processed in 0.050490 second(s), 26 queries .

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表