discuz 第2页

多同学肯定都收到阿里云提示discuz memcache+ssrf GETSHELL漏洞的相关说明，但购买阿里云云盾安骑士最少需要支付100块钱，下面我就在微博客给大家分享下如何来解决Discuz memcache+ssrf GETSHELL漏洞的问题。

该漏洞描述：discuz存在SSRF漏洞，在配置了memcache的情况下，攻击者可以利用ssrf通过memcache中转，向磁盘上写入WEBSHELL恶意代码，从而造成数据库泄漏

[v_act]解决方法一：[/v_act]

利用云盾安骑士修复/source/function/function_core.php，用下面文件覆盖即可。

以下是微博客提供的云盾安骑士修复后的function_core.php文件，该文件在1089行加入了一段代码，具体见下载包

使用方法，下载文件解压后，上传覆盖/source/function/function_core.php，后台更新缓存即可。

[dl href=’ https://www.weiboke.top/wp-content/uploads/2016/06/2016062910542054.zip’]function_core.zip[/dl]

[dl href=’ https://www.weiboke.top/wp-content/uploads/2016/06/2016062912535851.zip’]function_core discuz F1.0 专用.zip[/dl]
[v_act]解决方法二：  停止使用或卸载memcache[/v_act]

Windows下的Memcache卸载方法：

memcached -d stop

memcached -d remove

sc delete “Memcached Server”

[v_notice]linux memcached 卸载方法

1、首先查找你的memcached所在目录，可用如下命令查找名为memcached的文件夹
find / -name memcached
2、结束memcached进程
killall memcached
3、删除memcached目录及文件
rm -rf /www/wdlinux/memcached
rm -rf /www/wdlinux/init.d/memcached
4、关闭memcached开机启动
chkconfig memcached off
5、把memcached移出开机启动
chkconfig –del memcached[/v_notice]

[v_act]效果如图
[/v_act]

根目录找到
source/module/forum/forum_viewthread.php
搜索:

if($page == 1 && $ordertype == 1) {

修改为:

if($close_leftinfo || $page == 1 && $ordertype == 1) {

[v_act]1、进入后台 — 站长 — 邮件设置，如下图：[/v_act]

[v_act]2、如上图，选择“通过 SOCKET 连接 SMTP 服务器发送(支持 ESMTP 验证)”。[/v_act]

[v_act]3、点击“添加新SMTP服务器”，然后如下配置：[/v_act]

SMTP 服务器：smtp.163.com
这里设置的是发件邮箱的SMTP服务器地址，每个邮箱进入设置里面都会有这个地址，并且确保自己邮箱设置里面已经开启SMTP服务。比如腾讯的SMTP服务器：

SMTP 端口：25
这个端口绝大部分邮箱的SMTP端口都是25，所以这里一般不需要修改。

验证：勾选

发信人邮件地址：dzx@163.com
注意：

SMTP 身份验证用户名：dzx@163.com
注意：这里填写的是你发件邮箱的完整地址，而不是填写mutou.lee这样的又向前缀

SMTP 身份验证密码：就是你邮箱的密码

[v_act]4、邮件头的分隔符: 这里一般都是选择第二项，绝大多数SMTP服务器都是这样的设置。[/v_act]

[v_act]5、收件人地址中包含用户名: 选择“是”将在收件人的邮件地址中包含站点用户名[/v_act]

填写配置后确认提交，如下图：

[v_act]6、点击上方的检测按钮，来测试自己的配置是否正常，如下图：[/v_act]

OK，测试成功。

如果还有配置不成功的，尤其是独立服务器的，检查下自己服务器防火墙拦截规则，看看是不是防火墙或者杀毒软件将其拦截了，或者也可以咨询下你的空间商。

[v_notice]官方原版 [dm href=’http://www.nzno.cn’]演示地址[/dm][/v_notice]

[v_notice]插件导入DIY文件后点保存的时候，如果提示DIY模板目录不正确或模板文件不存在，请按以下步骤操作：
1、下载附件中的文件，解压；
2、将解压后的文件覆盖到你网站的根目录下。[/v_notice]
[dltable file=”source” size=”9.64k”]source[/dltable]

[v_notice]总有人说腾讯视频无法发到论坛上，因为腾讯视频的调用方式与其他视频网站略有差别，所以方法也不太一样，我通过测试找到了方法，现在把这个教程做出来，方便大家发布分享腾讯视频。
闲话少说，直入主题：[/v_notice]
[v_act]第一步，先找到要分享的腾讯视频，然后点击视频下面的“分享”按钮，如下图：[/v_act]

[v_act]第二步，在弹出的界面点击下方中央位置的倒置“>”符号，如下图：[/v_act]

[v_act]第三步，在弹出的选项中选择“复制Flash地址”，注意一部分浏览器需要手工复制，如下图：[/v_act]

[v_act]第四步，在帖子的编辑工具栏上选择“视频”或者“Flash”按钮均可，如下图：[/v_act]

[v_act]将复制得到的地址，粘贴到正确位置，如下图：[/v_act]

最后提交，发表帖子即可。

[v_error]编码语言：GBK(需要UTF8的请自行转码)[/v_error]

[v_notice]安装说明：
将所有程序源码传上空间根目录
在浏览器输入 http://您的域名/install  进行安装
安装完了进后台： 选择 “站长—数据库—恢复”  或者 http://您的域名/data/restore.php
在后台：工具 更新缓存  完毕。
恢复完的后台  用户名:admin  密码:admin
注：整站文件包里内附模版文件和DIY文件[/v_notice]

[dm href=’https://item.taobao.com/item.htm?spm=0.0.0.0.TKt92m&id=529403098293′]淘宝购买地址[/dm]

[v_notice]本插件支持手机视频音乐播放，支持自定义视频音频播放，去广告，支持多网址，自动识别

支持视频音乐（包含自定义视频音频）：

支持视频（优酷网、土豆网、凤凰视频、腾讯视频、QQ音乐MV、56网（支持自定义类识别）、音悦台、Vimeo、YouTube、自定义视频）
注：加强版播放无广告，加载速度快等，自适应任何尺寸手机，支持安卓苹果手机等播放
支持音乐（虾米音乐网、九酷音乐网、QQ音乐、5SING中国原创音乐（支持旧网址识别）、自定义音频）
注：视频、音乐采用缓存模式，自动缓存图片链接和标题等信息，可加快页面浏览速度[/v_notice]

[v_error]购买后网盘下载密码将会发送到您注册的邮箱里，请注意查收。[/v_error]

[v_act]解决方法[/v_act]
修改member_getpasswd.php和member_getpasswd.php添加按钮代码获取sign。

\template\default\member\getpasswd.htm

改为

\source\module\member\member_getpasswd.php

$hashid = $_GET['id'];
                $uid = $_GET['uid'];

改为

$hashid = $_GET['id'];
                $uid = $_GET['uid'];
                $sign = $_GET['sign'];

[v_notice]Discuz！x3.2插件图文安装教程 安装教程 获得下载连接，下载插件安装包 1、解压压缩包，获得插件文件夹。 2、将插件文件夹直接上传到服务器source\plugin，3、进入后台应用里去安装[/v_notice]
1、解压压缩包，获得插件文件夹

2、将插件文件夹直接上传到 source\plugin

3、进入网站后台——应用——插件——安装插件——启用插件