对熊海cms的一次渗透

最新推荐文章于 2024-04-04 14:19:45 发布
最新推荐文章于 2024-04-04 14:19:45 发布
阅读量507 收藏 12
点赞数 10
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mkicc/article/details/136218057
版权

今天闲的 Dan疼

打开fofa搜到了一个系统熊海cms

对其展开之前学的漏洞教程试试增加技术经验

1打开网站找了一圈看见个文章手贱测一测

2d8f817382f94d129cb6e1da0bf11961.png

挺好不错手工sql看看

39c4693a8fca4bcfa8b524830861d57d.png 

有反应但好像不成又用sqlmap也没成不试了

去看看有没有留言的地方b5b5cdbe3697460ca7be7e6bc351b501.png 

看到留言板 从xsspt平台搞一个代码插入一下

06f0ad596bb243d1b45b10f29ea57a0c.png 

bea52e60caf34a2d8d1dcf44e96641f2.png 

325a894bb7594be8ab6f7f83b33abeb1.png 

不光对字符串没有限制  然后xss代码插入图片代码还真有个图片5a1ba65cf9bd4f1bb7c4fc6eb3ee282f.png

像这个留言口继续插 其中插入代码就发生了挺搞笑的事1c6d7d9576804441968baf342917a41f.png

 居然还能有sqla8ed0c97289245718013669abca9df46.png

还有用扫描器扫的一些漏洞

并且网址也给大家没打码想去试试这个站点的同学可以试试!

mkicc
关注
熊海cms渗透测试
Panacea
07-16 2228
本来是用来练习代码审计的一个网站,但是代码审计真的好难啊,然后把这个换成了渗透了嘿嘿 安装 这个安装费老大劲了,我用的是phpstudy安装的,全部文件必须在www目录下,其他的都不行 然后php版本要改成5.X 后台 拿到后测试下/admin /login 得到/admin为后台地址 使用弱口令及常见密码失败,尝试其他地方获取用户名和密码 SQL注入 看到这种带有id的尝试SQL注入 加个单引号,报错 手注无果,上sqlmap跑一跑吧hhhhhhhhh 可知存在注入,继续跑,得到用户名和密码,登
熊海日记本官方网下载
04-01
本程序由熊海开发,基于Asp+access架构,之所以会开发日记本程序,是因为网上这类程序太少。 本程序可用于个人微博,个人日记,博客等应用,后续我也将会更新本程序,暂时起名为《熊海日记本》本版本为1.2.0,经过反复检查没有发现问题,如果大家在使用中遇到任何问题,欢迎反馈。 为了安全,大家在安装后,请务必将inc目录下的数据库路径和data文件夹下的数据库改名。有什么问题,大家可以来我的网站留言。 程序演示:http://www.09672.com 我的博客:http://www.09672.com 帐号:admin 密码:123456 2012.09.08 19:57 完成。 ----------------------------------------------------- 2012.11.23 一、修正后台编辑器不能上传图片的问题 二、修正首页图片显示的问题 ----------------------------------------------------- 2013.01.06 一、增加文章发表及评论IP归属地显示,增加IP数据库。 二、更改分页及评论内容过滤HTML标签。 三、修正字体为微软雅黑,看起来更美观。 四、URL地址优化,更短,更简洁。 五、更新版本为:SeaDiary V1.2.0
XHCMS渗透测试
kiihuang的博客
04-01 482
熊海网站渗透测试这次是黑盒渗透测试
熊海CMS_1.0 代码审计
weixin_30552811的博客
03-26 1149
  熊海是一款小型的内容管理系统,1.0版本是多年前的版本了,所以漏洞还是比较多的,而且审计起来难度不大,非常适合入门,所以今天我进行这款cms的代码审计。程序安装后使用seay源代码审计系统打开,首先使用自动审计。   可以看到,seay源代码审计工具还是审出了非常多的可疑漏洞的,但是这款工具还是有一定的误报率的。我们需要做的就是可疑漏洞的检查。 0x01 /index.php...
XHCMS靶场小记(熊海)_xhcms靶场搭建,开发岗面试自我介绍
最新发布
2401_84103844的博客
04-04 931
根目录下的index.php文件;r参数用于获取包含文件的名字,如果没有给r参数赋值则执行file文件夹下的index.php文件,如果r有值则包含file文件夹下的对应php文件,没有则返回空查看file文件夹下的index.php代码;该文件包含了template文件夹下的header.php文件;即r参数不赋值的情况下也会存在文件包含漏洞。
渗透测试-CMS系统SQL传马
道阻且长,行则将至。
08-27 937
攻击过程 墨者学院靶场链接 首先,上御剑扫描后台: 找到后台管理员登录页面: 在用户名处输入“admin'",发现存在报错型SQL注入: 接下来进行SQL注入的利用,使用SQLMap发现无法跑出数据,只能手工注入了。为了避免每次都输入用户名、密码和验证码,使用BurpSuite抓包并发送到Repeater模块: 尝试获取数据库名' union select 1,2,3,4,database() #...
熊海cms前端的远程文件包含漏洞
qq_52045924的博客
08-24 820
渗透测试时,可以在前端找找有没有文件包含漏洞,如果是远程文件包含漏洞的话,就可以通过蚁剑连接了。
文件包含漏洞
wutiangui的博客
07-07 1009
php:// — 访问各个输入/输出流(I/O streams)不受allow_url_fopen和allow_url_include影响(filter需要4个参数)/usr/local/app/apache2/conf/httpd.conf //apache2配置文件。/usr/local/app/php5/lib/php.ini //php配置文件。/etc/httpd/conf/httpd.conf //apache配置文件。resoure=<要过滤的数据流> 必须参数,指定筛选过滤的数据流。
burpsuite熊海渗透测试
12-23
渗透测试中,Burp Suite是一款常用的工具,可以用于对熊海CMS进行渗透测试渗透测试的目的是模拟攻击者的行为,发现系统中的漏洞并提供修复建议。使用Burp Suite进行熊海CMS渗透测试可以帮助我们发现可能存在...
PHP实例开发源码-熊海CMS 网站综合管理系统.zip
11-23
通过对熊海CMS的源码分析,我们可以深入理解PHP编程技巧、数据库交互以及Web应用架构。 首先,PHP的核心特性在于其灵活性和可扩展性。在熊海CMS中,PHP被用来处理用户请求,动态生成网页内容,实现用户登录验证、...
熊海博客 v1.4
09-11
熊海博客前言:经过几个版本的开源,发现做开源软件真的属于那种吃力不讨好的,并不是因为我不爱帮助别人,主要因为平时工作比较忙,不少刚入门的新手拿着程序改个名,然后就各种问题,文件传不上,是不是有病毒?哪里出错了,是不是限制了....不少问题确实让我有些头痛,得到的大部分是埋怨,也慢慢失去了继续开发的动力了,大部分业余时间开发PHP版本的博客了,但我知道,好的东西是要经过千锤百炼的,不管什么事,无法做到让所有人都满意,现在整理了一个1.4版本的程序,没做任何功能上的限制了。如果您在使用中遇到了任何问题,欢迎留言反馈,希望大家满意。
熊海博客官方版下载 v1.2
04-02
熊海博客官方版下载 v1.2 系统介绍: 熊海博客采用ASP+ACCE+HTML5+CSS3开发,根据手机屏幕智能适配,即使在多种分辨率的设备上页面依旧美观,喜欢的朋友可以下载学习研究一下。 程序更新: 2013.01.25 去掉限制,系统完全无功能限制,同时提供MSSQL版。 发现两处打开数据后未关闭的,造成IIS链接数超限运行缓慢。 更新版本为SEABLOG V1.2 2013.01.15 一、修正留言及评论取得用户IP错误并导致地理位置不显示。 二、修正编辑器上传及谷歌浏览器兼容问题。 三、添加用户留言及评论过滤HTML代码 四、修正其他几处安全问题 五、更新版本为SEABLOG V1.1
熊海微博 V1.0.rar
07-05
一直以来都有用微博和习惯,但是网上单用户的微博很少,而且操作比较繁琐,于是利用空闲时间开发了此套微博系统,本系统简洁,具有基本功能,并且使用HTML5 CSS。此版本为 SeaMicBlog V1.0,后续我会继续开发维护。 熊海微博使用方法:  一、首先请打开INC目录下的Config.asp,配置好网站基本信息及管理信息。  二、本系统采用快速管理机制,管理系统时只需要在管理员输入授权码即可管理系统。  三、发表微博时,在管理员输入授权码及微博内容即可。 * 默认管理密码为:123456 请及时修改。
熊海CMS v1.0.rar
07-06
熊海CMS更新说明: 2015-03-21 19:45 修复linux服务器上后台登录空白的问题。   熊海CMS 是由熊海开发的一款可广泛应用于个人博客,个人网站,企业网站的一套网站综合管理系统。   目前系统已经集成:代码高亮、广告模块、文件图片上传、图片水印、图片缩略图,智能头像,互动邮件通知等。部份模块添加多种实用功能,欢迎体验。   安装方法:上传到空间后,打开访问地址,按照安装向导设置后台管理信息及数据库信息即可。   相关阅读   同类推荐:cms系统
基于机器学习预测农药对熊蜂和蜜蜂的毒性.pdf
09-24
基于机器学习预测农药对熊蜂和蜜蜂的毒性 机器学习在预测农药对熊蜂和蜜蜂的毒性方面具有重要意义。本文基于机器学习算法,收集了61个共有的农药蜂毒数据,并利用12种分子指纹和8种机器学习算法,建立了农药对熊蜂...
一种熊蜂地下仿生温控装置的制作方法.docx
11-11
这种熊蜂地下仿生温控装置的创新之处在于它创造了一个模拟地下生态环境的温控系统,有效解决了高温对熊蜂生存和繁殖的负面影响,提高了熊蜂的采集效率,从而保障了大豆等作物的授粉效果和种子质量。通过这种技术,...
赵晨阳 第二次课堂讨论台词1
08-08
当我们看到熊时,由于对熊的外观和声音有固有的认知(比如它们通常被视为危险的动物),我们自然而然地会假设它们对我们构成威胁,从而采取避开的行动。然而,这种刻板印象并不总是准确的,可能忽略了一些复杂性和...
熊海cms v1.0 SQL注入漏洞复现
weixin_46801402的博客
07-29 3260
熊海CMS是一款可广泛应用于个人博客,个人网站,企业网站的一套网站综合管理系统,熊海CMS存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值