【网络安全】}ofCMS代码审计

最新推荐文章于 2024-05-07 12:50:11 发布
最新推荐文章于 2024-05-07 12:50:11 发布
阅读量686 收藏
点赞数 1
分类专栏: 安全 网络 黑客 文章标签: 安全 macos web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HBohan/article/details/121422523
版权

来先看看主要的目录结构吧(粗略)。
在这里插入图片描述
核心代码去瞧瞧,我的思路一般都是看看能够登入的地方(下面是我直接找到的后台管理登入系统)。
全局搜索一下。

【技术资料】

这算漏洞吗?

在这里插入图片描述
进入看了一下,但是没什么用,不能强行爆破。有限制账号登入次数。但是这里有个可以探测的,就是管理员的账号,账号的对错分别的得到提示不一样。算个小小的漏洞?
在这里插入图片描述

路径遍历

既然这里是登入后台,那就进入这一片的代码瞧瞧。看先一些有趣的东西。

最低0.47元/天 解锁文章
IT老涵
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java代码审计.Freemarker模板命令注入.分析
10-21
Java 代码审计——Freemarker 模板命令注入分析 Java 代码审计是软件开发过程中的一个重要步骤,它可以帮助开发者发现和修复代码中的漏洞和缺陷。在本文中,我们将对 OFCMS 1.1.2 后台存在的 Freemarker 模板命令...
oufu-ofcms-1.1.zip
05-15
OFCMS 1.1的代码完全开源,采用MIT授权协议,这意味着开发者可以自由地使用、修改和分发该系统。这一开源策略鼓励了社区的参与和贡献,促进了系统的持续优化和升级,同时也为用户提供了更广泛的定制可能性。 总的来...
OFCMS代码审计
as you know, nlp is fantasitc!
08-19 820
这次搭建环境比较顺利,没有遇到什么坑点,于是将前面学的应用到实际的框架审计中。
初识java代码审计——ofcms 1.1.4内容管理系统代码审计
Alexz__的博客
05-05 3133
目录 壹 ofcms环境搭建(避坑指南) 贰 从ofcms出发浅析javaweb项目目录结构及其功能 叁 CVE-2019-9614 SSTI模板注入漏洞 肆 任意文件上传漏洞 伍 存储型XSS漏洞 陆 后台SQL注入漏洞 壹 ofcms环境搭建(避坑指南) 四月底开始入手java代码审计,从一开始的一头雾水到现在博客总结,之间经历了许多,走过不少坑,虽然大四啥事儿都没有但是整个过程也还是压力比较大的 现在IDEA中以及没有java代码审计插件 Fi...
2024年网络安全最新Web安全 EmpireCMS漏洞常见漏洞分析及复现_cms代码执行漏洞,2024年最新关于网络优化你必须要知道的重点
2401_84302369的博客
05-07 945
我们知道secure_file_priv这个参数在mysql的配置文件里起到的是能否写入的作用,当secure_file_priv = 为空,则可以写入sql语句到数据库,当secure_file_priv = NULL,则不可以往数据库里写sql语句,当secure_file_priv = /xxx,一个指定目录的时候,就只能往这个指定的目录里面写东西。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
OFCMS 1.1.2模板注入漏洞(CVE-2019-9614)
weixin_44770698的博客
08-21 502
OFcms模板注入漏洞
从ofcms的模板注入漏洞(CVE-2019-9614)浅析SSTI漏洞
Alexz__的博客
05-04 1675
什么是SSTI漏洞 CVE-2019-9614漏洞复现 ofcms的freemarker模板源码简要分析 壹 什么是SSTI漏洞 SSTI:Server Side Template Injection 服务器端模板注入漏洞 既然是注入漏洞,那么它所运用的核心思想就和XSSSQL注入差不多,都是运用不安全的用户输入,将正常的数据接收处进行恶意输入,导致服务器将用户输入数据当成代码并执行,从而完成一些危险的行为 我们针对SSTI来看,他的主要载体是web站点MVC架构之上,也就是从...
[JAVA代码审计]OFCMSv1.3.3之前存在SQL注入漏洞
Y4tacker的博客
05-19 844
文章目录写在前面环境配置分析 写在前面 好久没碰过Javaweb了,但是感觉自己配环境的时候还是满熟练的哈,这一篇算是超级简单那种了,就开启我的Java审计之旅吧 环境配置 我这里是老古董无敌兼容版本Jdk1.8,开启配置 分析 漏洞点在http://url/admin/system/generate/create.json?sqlid=,在com/ofsoft/cms/admin/controller/system/SystemGenerateController.java,能看到这里直接接收了s
Java代码审计工程师 视频教程 下载 百度网盘链接4.zip
最新发布
06-19
├─20.实验课程作业 │ 10_业务逻辑漏洞.pdf │ 11_SQL注入漏洞.pdf │ 12_文件上传&目录遍历漏洞.pdf │ 13_命令执行(代码执行).pdf ...代码审计及SDL岗位面试总结.pdf 9.XSS漏洞审计.pdf
Java代码审计工程师 视频教程 下载 百度网盘链接1.zip
06-19
├─20.实验课程作业 │ 10_业务逻辑漏洞.pdf │ 11_SQL注入漏洞.pdf │ 12_文件上传&目录遍历漏洞.pdf │ 13_命令执行(代码执行).pdf ...代码审计及SDL岗位面试总结.pdf 9.XSS漏洞审计.pdf
Java代码审计工程师 视频教程 下载 百度网盘链接2.zip
06-19
├─20.实验课程作业 │ 10_业务逻辑漏洞.pdf │ 11_SQL注入漏洞.pdf │ 12_文件上传&目录遍历漏洞.pdf │ 13_命令执行(代码执行).pdf ...代码审计及SDL岗位面试总结.pdf 9.XSS漏洞审计.pdf
HTML代码过滤工具
11-10
用于过滤HTML代码的工具,小巧,而且听实用的
基于内容的垃圾邮件过滤
12-25
基于内容的垃圾邮件过滤技术 #include <iostream> #include "stemmer/Stemmer.h" #include <vector> #include <string> #include <iomanip> #include <algorithm> #include <math.h> #include "spamtrain.h" #define MAX(a,b) (a>=b)?a:b; #define MIN(a,b) (a<=b)?a:b; using namespace std; using namespace boost::filesystem; using namespace boost; spamtrain::spamtrain(){ totalfiles = 0; spamfiles = 0 ; spamwordNumber=0; legiwordNumber=0 ; uniquewordnumber=0 ; }
数据过滤对系统安全的必要性及过滤示例
05-18
注入漏洞及XSS存儲漏洞等,幾乎都是由於對入口數據沒有進行過濾就傳遞到OS或數據庫執行導致的。下文以靶机平台上的注入页面为例对OS指令注入及修改应对策略(过滤方式)进行展开。
使用DFA算法实现的内容安全反垃圾智能鉴黄敏感词过滤
08-08
使用DFA算法实现的内容安全,反垃圾,智能鉴黄,敏感词过滤,不良信息检测,文本校验,敏感词检测,包括关键词提取,过滤html标签等。
论文研究-一种互联网内容安全检测过滤系统.pdf
07-22
为了解决互联网上内容安全问题,提出一种互联网内容安全检测系统。该系统包括四层,即网络层、信息识别层、信息流过滤层和内容检测层。网络层中是互联网上通过的文本信息、音频信息以及图像与视频信息等。这一层网络中的信息可以通过网络抓包器来捕获网络数据包,并送给第二层信息识别层进行分类。信息识别层中主要是对从网络上来的信息进行识别,分清楚它们是文本信息、音频信息还是图像及视频信息。信息流过滤层主要任务是对信息识别层传来的信息进行多特征融合判定。对有用的信息进行过滤,对信息的格式进行标准化等。内容检测层是整个系统的核心
从OFCMS出发,浅析JavaWeb项目技术结构及其功能
Alexz__的博客
04-29 1526
ofcms简介,技术选型介绍 Tomcat运行原理浅析 Maven功能浅析 ofcms项目结构分析 壹 ofcms简介 ofcms是一款基于java开发的内容管理系统,也就是我们俗称的建站系统,国内建站系统大多由php开发而来,java开发的少之又少 本打算基于ofcms入手,开始java代码审计的学习流程,后发现自身知识盲区实在太多,于是便开始从底层一步步的开始学习 ofcms建于Tomcat 8.5+之上,使用Maven内容管理模块,数据库使用MySQL 5.7+,其项目结构大致如...
OFCMS 项目开源 java cms 系统 内容管理系统
技术创造未来,程序改变生活。
06-28 9539
技术选型:jfinal mybatis mysql  freemarker  redis spring 等 layui zTree bootstrap 。 特点:支持多站点、可以根据需求添加手机站、pc站。 模板采用:freemarker  标签会在官网发布。 项目地址:https://gitee.com/oufu/ofcms  QQ 群: ①185948055 前台展示:   ...
[JAVA代码审计]OFCMS路径遍历漏洞
Y4tacker的博客
05-19 1482
文章目录写在前面分析 写在前面 今天分析的第二篇,当时在网上看到爆了这个漏洞那么就分析一下啦 网上似乎没有人写,那就让本小可爱来吧 分析 漏洞点存在于后台的模板文件查看处 漏洞函数位于com/ofsoft/cms/admin/controller/cms/TemplateController.java下的getTemplates函数,首先是接收这三个参数,当时是get传参方式 //当前目录 String dirName = getPara("dir",""); //上级目录 String upDir
php 内容安全过滤代码,PHP安全之数据过滤_PHP
weixin_34820916的博客
03-20 317
在指南的开始,我们说过数据过滤在任何语言、任何平台上都是WEB应用的基石。这包含检验输入到应用的数据以及从应用输出的数据,而一个好的软件设计可以帮助开发人员做到:确保数据过滤无法被绕过,确保不合法的信息不会影响合法的信息,并且识别数据的。关于如何确保数据过滤无法被绕过有各种各样的观点,而其中的两种观点比其他更加通用并可提供更高级别的保障。调度方法这种方法是用一个单一的 PHP 脚本调度(通过 UR...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值