熊海cms渗透测试

最新推荐文章于 2024-07-14 20:19:37 发布
最新推荐文章于 2024-07-14 20:19:37 发布
阅读量2.2k 收藏 7
点赞数 2
分类专栏: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45808659/article/details/107378524
版权
本文介绍了对熊海CMS进行渗透测试的过程,包括安装难点、后台路径发现、SQL注入利用以及反射型XSS漏洞的探测。通过尝试不同方法,成功利用SQL注入获取后台权限,并在后台的留言回复与广告模块发现了XSS漏洞。尽管一些尝试未果,但测试过程揭示了系统存在的安全风险。
摘要由CSDN通过智能技术生成 
本来是用来练习代码审计的一个网站,但是代码审计真的好难啊,然后把这个换成了渗透了嘿嘿

安装

这个安装费老大劲了,我用的是phpstudy安装的,全部文件必须在www目录下,其他的都不行
然后php版本要改成5.X

后台

拿到后测试下/admin /login 得到/admin为后台地址

图片: https://uploader.shimo.im/f/7nZ83GCsjEwPtrnn.png
使用弱口令及常见密码失败,尝试其他地方获取用户名和密码

SQL注入

看到这种带有id的尝试SQL注入
图片: https://uploader.shimo.im/f/zmdKYyNGwhv5DGlL.png
加个单引号,报错
图片: https://uploader.shimo.im/f/0ebYHoeR0dOZjDpz.png
手注无果,上sqlmap跑一跑吧hhhhhhhhh

最低0.47元/天 解锁文章
「已注销」
关注
专栏目录
适合入门代码审计之熊海cms
HBohan的博客
03-05 1975
一、前言 简单了解了一下,审计入门,熊海比较适合,因为是简单的cms,适合入门。 二、审计环境 使用小皮面板,新建网站 三、审计过程 先了解文件目录 admin --管理后台文件夹 css --存放css的文件夹 files --存放页面的文件夹 images --存放图片的文件夹 inc --存放网站配置文件的文件夹 install --网站进行安装的文件夹 seacmseditor --编辑器文件夹
熊海CMS v1.0
10-08
熊海CMS是由熊海开发的一款可广泛应用于个人博客,个人网站,企业网站的一套网站综合管理系统。适用于个人博客、个人网站、企业网站等各种用途,前台采用电脑、移动端两种显示
熊海CMS漏洞练习平台的一次xss、sql注入、越权黑盒思路分析
最新发布
xt350488的博客
07-14 1087
建议自定义错误页面,以避免编程语言特性导致的网站根目录泄露问题,从而减少不必要的安全风险。原文:https://mp.weixin.qq.com/s/NkyXg3Dm5ZzFUGpqn0uzBQ。
熊海cms的一次渗透
mkicc的博客
02-21 483
不光对字符串没有限制 然后xss代码插入图片代码还真有个图片。并且网址也给大家没打码想去试试这个站点的同学可以试试!像这个留言口继续插 其中插入代码就发生了挺搞笑的事。看到留言板 从xsspt平台搞一个代码插入一下。有反应但好像不成又用sqlmap也没成不试了。对其展开之前学的漏洞教程试试增加技术经验。1打开网站找了一圈看见个文章手贱测一测。打开fofa搜到了一个系统熊海cms。还有用扫描器扫的一些漏洞。挺好不错手工sql看看。去看看有没有留言的地方。
汇总-熊海CMS代码审计-入门网络安全知识点
程序员六七的博客
05-17 633
我正在参加「掘金·启航计划」前言熊海CMS是由熊海开发的一款可广泛应用于个人博客,个人网站,企业网站的一套网站综合管理系统。作为一个早期的系统,里面代码存在许多漏洞利用点
熊海CMS_1.0 代码审计
weixin_30552811的博客
03-26 1149
  熊海是一款小型的内容管理系统,1.0版本是多年前的版本了,所以漏洞还是比较多的,而且审计起来难度不大,非常适合入门,所以今天我进行这款cms的代码审计。程序安装后使用seay源代码审计系统打开,首先使用自动审计。   可以看到,seay源代码审计工具还是审出了非常多的可疑漏洞的,但是这款工具还是有一定的误报率的。我们需要做的就是可疑漏洞的检查。 0x01 /index.php...
burpsuite熊海渗透测试
12-23
使用Burp Suite进行熊海CMS渗透测试可以帮助我们发现可能存在的安全问题,例如未经身份验证的访问、SQL注入、跨站脚本攻击等。 在使用Burp Suite进行熊海CMS渗透测试时,可以使用其各种功能,例如代理、扫描、...
渗透测试实战指南笔记
weixin_67830340的博客
04-07 1977
第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包。 首先,下载需要的安装包,命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压,解压文件的命令为tar zxvf lanmp_v3.tar.gz,运行环境如下图所示。 输入sh lanmp.sh命令运行LANMP,这时程序中会有5个选项,如下
网络渗透测试实训周笔记3.0
qq_65745696的博客
03-27 602
1.代码审计概念 代码审计,是对应用程序源代码进行系统性检查的工作。目的是为了找到并且修复应用程序在开发阶段存在的一些漏洞或者程序逻辑错误,避免程序漏洞被非法利用给企业带来不必要的风险。 代码审计不是简单的检查代码,审计代码的原因是确保代码能安全的做到对信息和资源进行足够的保护,所以熟悉整个应用程序的业务流程对于控制潜在的风险是非常重要的。 代码审计入门基础:html/js基础语法、PHP基础语法 ,面向对象思想,PHP小项目开发(Blog、注册登录、表单、文件上传、留言板等),Web漏洞挖掘及利用,W
熊海CMS v1.0.rar
07-06
熊海CMS更新说明: 2015-03-21 19:45 修复linux服务器上后台登录空白的问题。   熊海CMS 是由熊海开发的一款可广泛应用于个人博客,个人网站,企业网站的一套网站综合管理系统。   目前系统已经集成:代码高亮、广告模块、文件图片上传、图片水印、图片缩略图,智能头像,互动邮件通知等。部份模块添加多种实用功能,欢迎体验。   安装方法:上传到空间后,打开访问地址,按照安装向导设置后台管理信息及数据库信息即可。   相关阅读   同类推荐:cms系统
熊海CMS_V1.zip
09-28
熊海CMS_V1.zip
熊海CMS报错注入
qq_28624871的博客
04-02 2449
文章目录前言分析过程0x01.注入点源码分析0x02.报错注入的利用方法1.UpdateXml2.ExtractValue0x03.爆破表名的两种方法(Burpsuite和sqlmap)Burpsuitesqlmap(详见0x04)0x04.利用sqlmap来进行sql注入0x05.updatexml 函数0x06.extractvalue 函数踩的坑坑一:在练习页面留言报错---三种解决方法1.修改My.ini2.在navicat中修改3.修改PHP代码坑二:xedbug 调试不转跳到 submit.ph
熊海CMS_V1.0代码审计与漏洞分析及采坑日记(一)--文件包含漏洞
qq_28624871的博客
03-13 6238
熊海CMS_V1.0代码审计与漏洞分析及采坑日记(一)–文件包含漏洞 前言 最近几天在给协会的学弟讲代码审计入门相关内容,便找了这个熊海CMS_V1.0来教学,结果在这个过程中遇到蛮多问题的,于是这篇文章详细记录了对熊海CMS_V1.0从搭建到审计与漏洞分析的过程,其中踩了很多坑,这些坑网上也没有什么记录,也是我之前学习过程中没有去仔细发现和研究的,果然古人诚不欺我,温故而知新,通过给学弟们讲这个简单的代码审计又学习到了很多新的内容,也欢迎阅读这篇文章的师傅们对文章出现的问题一起探讨交流,不足的地方也请多多
【漏洞复现】熊海cms 存在sql注入 附poc
失心少年
11-26 1220
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。其采用前后端整合设计思路,php,Apache,mysql,前端使用Bootstrap和少许jquery前端框架开发;熊海CMS 是由熊海开发的一款可广泛应用于个人博客,个人网站,企业网站的一套网站综合管理系统。
熊海cms安装
2302_76681209的博客
05-30 566
1.打开phpstudy创建一个新网站 (注意这里要勾选创建数据库,并且php版本要<7)记得将xhcms(源码)放到网站根目录下。接下来用创建数据库时的用户密码安装就好了。
[代码审计]—熊海cms
Sentiment的博客
04-18 1416
环境搭建 phpstudy新建个站,放入代码 创建数据库 访问install 确认后变成空白页面,于是打开源文件查看后 发现是由于php版本过高,部分函数无法使用导致 修改php版本后访问install搭建成功 在访问files目录时报错 原因是在文件包含的路径错误,包含inc/301.php会包含files目录下的inc/301.php,但inc和files属于同级目录,不在files中所以会报错,在前边加上…/即可 后来发现该文件夹下的所有文件都有该问题,如果一个个加…/未免有些麻烦,所以
熊海CMS 靶场
diaobusi的博客
11-11 1099
初步了解cms,Content Management System 内容管理系统。它是一种用于创建、编辑、管理和发布内容的软件程序或工具。内容管理系统通常用于网站、博客、企业内部系统等各种应用中,可以帮助用户管理和发布各种类型的内容,如文章、图片、视频、文件等。进行PHP代码审计,代码审计是一种白盒测试,以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。软件代码审计是对编程项目中源代码的全面分析,旨在发现错误,安全漏洞或违反编程约定。它是防御性编程范例的一个组成部分,它试图在软件发布之前减少错误。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值