DuomiCms

最新推荐文章于 2022-07-13 23:18:23 发布
最新推荐文章于 2022-07-13 23:18:23 发布
阅读量523 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45835337/article/details/105612671
版权

根据观察,管理用户界面是admin.php,于是打开

require_once(dirname(__FILE__).'/../duomiphp/common.php');
require_once(duomi_INC."/check.admin.php");
if(empty($dopost))
{
	$dopost = '';
}
//检测安装目录安全性
if( is_dir(dirname(__FILE__).'/../install') )
{
	if(!file_exists(dirname(__FILE__).'/../install/install_lock.txt') )
	{
  	$fp = fopen(dirname(__FILE__).'/../install/install_lock.txt', 'w') or die('安装目录无写入权限,无法进行写入锁定文件,请安装完毕删除安装目录!');
  	fwrite($fp,'ok');
  	fclose($fp);
	}
	//为了防止未知安全性问题,强制禁用安装程序的文件
	if( file_exists("../install/index.php") ) {
		@rename("../install/index.php", "../install/index.php.bak");
	}
}
//检测后台目录是否更名
$cururl = GetCurUrl();
if(m_eregi('/admin/login',$cururl))
{
	$redmsg = '<div style="color:#ff0000;font-size:14px;background:#fff;padding:5px 0">后台默认路径/admin建议及时修改,修改后会更安全!</div>';
}
else
{
	$redmsg = '';
}

//登录检测
$admindirs = explode('/',str_replace("\\",'/',dirname(__FILE__)));
$admindir = $admindirs[count($admindirs)-1];
if($dopost=='login')
{
	$validate = empty($validate) ? '' : strtolower(trim($validate));
	$svali = strtolower(GetCkVdValue());
	if($validate=='' || $validate != $svali)
	{
		ResetVdValue();
		ShowMsg('验证码不正确!','-1');
		exit();
	}
	else
	{
		$cuserLogin = new userLogin($admindir);
		if(!empty($userid) && !empty($pwd))
		{
			$res = $cuserLogin->checkUser($userid,$pwd);

			//success
			if($res==1)
			{
				$cuserLogin->keepUser();
				if(!empty($gotopage))
				{
					ShowMsg('成功登录,正在转向管理管理主页!',$gotopage);
					exit();
				}
				else
				{
					ShowMsg('成功登录,正在转向管理管理主页!',"index.php");
					exit();
				}
			}

			//error
			else if($res==-1)
			{
				ShowMsg('你的用户名不存在!','-1');
				exit();
			}
			else
			{
				ShowMsg('你的密码错误!','-1');
				exit();
			}
		}

		//password empty
		else
		{
			ShowMsg('用户和密码没填写完整!','-1');
				exit();
		}
	}
}
include('html/login.htm');
?>

发现要进入管理,则需要$res==1,
再查看包含的文件/check.admin.php

if(!defined('duomi_INC'))
{
	exit("Request Error!");
}
session_start();
 
function CheckPurview()
{
	if($GLOBALS['cuserLogin']->getUserRank()<>1)
	{
		ShowMsg("对不起,你没有权限执行此操作!<br/><br/><a href='javascript:history.go(-1);'>点击此返回上一页&gt;&gt;</a>",'javascript:;');
		exit();
	}
}
 
$admincachefile = duomi_DATA.'/admin_'.cn_substr(md5($cfg_cookie_encode),24).'.php';
if(!file_exists($admincachefile))
{
	$fp = fopen($admincachefile,'w');
	fwrite($fp,'<'.'?php $admin_path ='." ''; ?".'>');
	fclose($fp);
}
require_once($admincachefile);
 
class userLogin
{
	var $userName = '';
	var $userPwd = '';
	var $userID = '';
	var $adminDir = '';
	var $groupid = '';
	var $keepUserIDTag = "duomi_admin_id";
	var $keepgroupidTag = "duomi_group_id";
	var $keepUserNameTag = "duomi_admin_name";
 
	//php5构造函数
	function __construct($admindir='')
	{
		global $admin_path;
		if(isset($_SESSION[$this->keepUserIDTag]))
		{
			$this->userID = $_SESSION[$this->keepUserIDTag];
			$this->groupid = $_SESSION[$this->keepgroupidTag];
			$this->userName = $_SESSION[$this->keepUserNameTag];
		}
 
		if($admindir!='')
		{
			$this->adminDir = $admindir;
		}
		else
		{
			$this->adminDir = $admin_path;
		}
	}
 
	function userLogin($admindir='')
	{
		$this->__construct($admindir);
	}
 
	//检验用户是否正确
	function checkUser($username,$userpwd)
	{
		global $dsql;
 
		//只允许用户名和密码用0-9,a-z,A-Z,'@','_','.','-'这些字符
		$this->userName = m_ereg_replace("[^0-9a-zA-Z_@!\.-]",'',$username);
		$this->userPwd = m_ereg_replace("[^0-9a-zA-Z_@!\.-]",'',$userpwd);
		$pwd = substr(md5($this->userPwd),5,20);
		$dsql->SetQuery("Select * From `duomi_admin` where name like '".$this->userName."' and state='1' limit 0,1");
		$dsql->Execute();
		$row = $dsql->GetObject();
		if(!isset($row->password))
		{
			return -1;
		}
		else if($pwd!=$row->password)
		{
			return -2;
		}
		else
		{
			$loginip = GetIP();
			$this->userID = $row->id;
			$this->groupid = $row->groupid;
			$this->userName = $row->name;
			$inquery = "update `duomi_admin` set loginip='$loginip',logintime='".time()."' where id='".$row->id."'";
			$dsql->ExecuteNoneQuery($inquery);
			return 1;
		}
	}
 
	//保持用户的会话状态
	//成功返回 1 ,失败返回 -1
	function keepUser()
	{
		if($this->userID!=""&&$this->groupid!="")
		{
			global $admincachefile;
 
			$_SESSION[$this->keepUserIDTag] = $this->userID;
			$_SESSION[$this->keepgroupidTag] = $this->groupid;
			$_SESSION[$this->keepUserNameTag] = $this->userName;
 
			$fp = fopen($admincachefile,'w');
			fwrite($fp,'<'.'?php $admin_path ='." '{$this->adminDir}'; ?".'>');
			fclose($fp);
			return 1;
		}
		else
		{
			return -1;
		}
	}
 
	//结束用户的会话状态
	function exitUser()
	{
		$_SESSION[$this->keepUserIDTag] = '';
		$_SESSION[$this->keepgroupidTag] = '';
		$_SESSION[$this->keepUserNameTag] = '';
	}
 
 
	//获得用户的权限值
	function getgroupid()
	{
		if($this->groupid!='')
		{
			return $this->groupid;
		}
		else
		{
			return -1;
		}
	}
 
	function getUserRank()
	{
		return $this->getgroupid();
	}
 
	//获得用户的ID
	function getUserID()
	{
		if($this->userID!='')
		{
			return $this->userID;
		}
		else
		{
			return -1;
		}
	}
 
	//获得用户名
	function getUserName()
	{
		if($this->userName!='')
		{
			return $this->userName;
		}
		else
		{
			return -1;
		}
	}
}

在中间发现了session(在计算机上操作某个应用程序时,您打开它,做些更改,然后关闭它。这很像一次对话(Session)。计算机知道您是谁。它清楚您在何时打开和关闭应用程序。然而,在因特网上问题出现了:由于 HTTP 地址无法保持状态,Web 服务器并不知道您是谁以及您做了什么。session 解决了这个问题,它通过在服务器上存储用户信息以便随后使用(比如用户名称、购买商品等)。然而,会话信息是临时的,在用户离开网站后将被删除。如果您需要永久存储信息,可以把数据存储在数据库中。
Session 的工作机制是:为每个访客创建一个唯一的 id (UID),并基于这个 UID 来存储变量。UID 存储在 cookie 中,或者通过 URL 进行传导)
在admin_manager.php中,观察到进入管理权限的条件
在这里插入图片描述

于是我们伪造$_SESSION,根据前面定义的类,判断赋值duomi_admin_id=1,duomi_group_id=1,duomi_admin_name=admin,及

_SESSION[duomi_admin_id]=1&_SESSION[duomi_group_id]=1&_SESSION[duomi_admin_name]=admin

找到一个变量覆盖漏洞,不论哪个页面,只要有变量覆盖漏洞,我们能写入$_SESSION,那么就能对整个站生效。然后进入管理界面
在这里插入图片描述

qq_45835337
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
多米cms(duomicms)变量覆盖漏洞(超详细)
kiwi的博客
11-01 825
本文章我借鉴了代码审计实战 - FreeBuf网络安全行业门户的文章,文章写的比较详细,大家也可以看看他写的文章。
多米(DuomiCms)影视管理系统
02-01
一套完整的多米(DuomiCms)影视管理系统
多米(DuomiCms)影视管理系统 X1.1
11-27
DuomiCms采用PHP+MYSQL架构原生PHP代码带来卓越的访问速度和负载能力免去您的后顾之优。众多人性化功能设计,超前定时执行任务,让您处理数据得心应手,您只需要专心做内容运营,其
多米(DuomiCms)影视管理系统 v1.3 utf-8
12-06
多米影视管理系统(DuomiCms,多米CMS)是一套专为不同需求的而设计的视频点播系统,灵活,方便,人性化设计简单易用是最大的特色,是快速架设视频网站首选,只需3分钟即可建立一个海量的视频讯息的行业网站。 DuomiCms采用PHP+MYSQL架构,原生PHP代码带来
多米(DuomiCms)影视管理系统 视频点播系统 视频网站源码
01-05
DuomiCms采用PHP+MYSQL架构,原生PHP代码带来卓越的访问速度和负载能力免去您的后顾之优。众多人性化功能设计,超前定时执行任务,让您处理数据得心应手,您只需要专心做内容运营,其它的交给我们。 为符合SEO要求开发大量功能,比如百度结构化数据生成,搜索引擎地图等。全新设计的专题管理,同时支持主分类,扩展分类,剧情分类三种分类方式,让网站内容与众不同。简单易用丰富的模板标签,方便网站模板设计制作,让网站更显专业。 DuomiCms是基于PHP+MySql技术开发的影视管理系统,强劲功能、卓越性能、安全健壮。简单易用、制作模板方便。构架稳健,平滑升级。 多米(DuomiCms)影视管理系统 v1.32 更新日志: 修复迅雷下载功能 修复模板错位代码 修复后台第三方采集资源 修复延迟加载图片以及代码 美化后台部分代码 去除部分无效代码 新增显示官方版本 新增官方资源 新增14个解析播放器 修复无效播放器默认支持解析
多米(DuomiCms)影视管理系统 X2.0
10-22
DuomiCms采用PHP+MYSQL架构,原生PHP代码带来卓越的访问速度和负载能力免去您的后顾之优。众多人性化功能设计,超前定时执行任务,让您处理数据得心应手,您只需要专心做内容运营,其它的交给我们。为符合SEO要求开发大量功能,比如百度结构化数据生成,搜索引擎地图等。全新设计的专题管理,同时支持主分类,扩展分类,剧情分类三种分类方式,让网站内容与众不同。简单易用丰富的模板标签,方便网站模板设计制作,让网站更显专业。DuomiCms是基于PHP+MySql技术开发的影视管理系统,强劲功能、卓越性能、安全健壮。简单易用、制作模板方便。构架稳健,平滑升级。多米(DuomiCms)影视管理系统 更新日志:X2.0修复cms播放器调用修改_支持任意目录安装整合link播放器修复顶部模板错位修复播放器错位后期资源不在纳入版本更新中,资源自动更新。X1.1修复解析播放器修复后台推广选项X1.0核心文件开源 新增采集资源管理[资源库列表&资源库管理]新增下载来源管理新增资源API插件[共享自己资源给别人采集] 后台控制开关 文件在根目录zyapi.php新增百度推送新增微信公众号新增首页公告,可
多米(DuomiCms)影视管理系统PHP版X2.0
07-25
DuomiCms采用PHP MYSQL架构,原生PHP代码带来卓越的访问速度和负载能力免去您的后顾之优。众多人性化功能设计,超前定时执行任务,让您处理数据得心应手,您只需要专心做内容运营,其它的交给我们。 为符合SEO要求开发大量功能,比如百度结构化数据生成,搜索引擎地图等。全新设计的专题管理,同时支持主分类,扩展分类,剧情分类三种分类方式,让网站内容与众不同。简单易用丰富的模板标签,方便网站模
DuoMiCms资源采集插件 v3.1
12-04
DuoMiCms资源采集插件是一个基于多米cms影视管理系统,而进行开发的自动采集插件。 重要提示: 200在线资源和C值部分需要解析。201C值资源需要解析。 如果你们没有接口可以下载下方借口。 使用说明: 将文件api.php ...
duomicms代码审计1
08-03
Duomicms 代码审计是一个重要的安全实践,目的是发现潜在的安全漏洞和编码问题。在这个特定的审计过程中,我们关注了几个关键点,它们涉及到系统运行的流程、文件结构、以及对外部输入的处理。 首先,审计从程序...
DuomiCms多米影视管理系统php源程序 v1.21.rar
07-10
DuomiCms多米影视管理系统php源程序,采用PHP MYSQL架构,免费开源,本视频系统支持主分类,扩展分类,剧情分类三种分类方式,简单易用丰富的模板标签,方便网站模板设计制作,让网站更显专业。DuomiCms多米影视管理系统安装说明:   将upload文件夹里的文件全部上传至网页服务器后,执行以下操作:   1.请设置index.php,index.html为默认文档名。   2.请运行http://域名/install/index.php进行程序安装   3.安装完毕后为了安全请删除安装目录   4.后台默认目录为/admin,安装后建议修改后台管理路径   注意:子目录安装修改/player/play.js查找/player/html/' pn '.html 修改为 /你的子目录名/player/html/' pn '.html
多米(DuomiCms)影视管理系统php版v1.32UTF-8正式版
08-03
多米(DuomiCms)影视管理系统是一套专为影视站长而设计的视频点播系统,灵活,方便,人性化设计简单易用是最大的特色,是快速架设视频网站首选,只需3分钟即可建立一个海量的视频讯息的行业网站。 多米cms采用PHP MYSQL架构,原生PHP代码带来卓越的访问速度和负载能力免去您的后顾之优。多米cms支持一键转换原马克思、海洋、PIPI 等的模板和数据,实现网站无缝迁移到新平台。众多人性化功能设计
多米(DuomiCms)影视管理系统 v1.32
12-03
DuomiCms采用PHP+MYSQL架构,原生PHP代码带来卓越的访问速度和负载能力免去您的后顾之优。众多人性化功能设计,超前定时执行任务,让您处理数据得心应手,您只需要专心做内容运营,其它的交给我们。 为符合SEO要求开发大量功能,比如百度结构化数据生成,搜索
DuoMiCms资源采集插件 v3.1.zip
07-14
DuoMiCms资源采集插件 更新日志: 2016-10-06更新说明: 1、去除无效资源接口 2、修复C值资源站接口 3、新增授权资源站接口 DuoMiCms资源采集插件简介 DuoMiCms资源采集插件是一个基于多米cms影视管理系统,而进行开发的自动采集插件。 DuoMiCms资源采集插件页面展示 相关阅读 同类推荐:站长常用源码
Duomicms变量覆盖漏洞
B_roin的博客
04-19 590
变量覆盖 1.变量覆盖是指可以用我们的传参值替换程序原有的变量值 2.经常导致变量覆盖漏洞场景有:$$(可变变量)使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局变量注册等 1 . extract()函数:从数组中将变量导入到当前的符号表 (来源:菜鸟教程) [该函数使用数组键名作为变量名,使用...
xray插件改良5-poc-yaml-duomicms-sqli
HWHXY的博客
03-23 573
xray插件改良5-poc-yaml-duomicms-sqli 前言 poc-yaml-duomicms-sqli原始的ymlpoc-yaml-duomicms-sqli name: poc-yaml-duomicms-sqli rules: - method: GET path: >- /duomiphp/ajax.php?action=addfav&id=1&uid=1%20and%20extractvalue(1,concat_ws(1,1,md5(20
Duomicms_X2.0变量覆盖通杀漏洞复现
seek_2022的博客
07-13 1656
出于学习和技术分享的目的撰写了本文,希望能给读者们学习挖掘此类漏洞提高一点参考。
代码审计duomicms—变量覆盖漏洞
希望我的博客,能帮上你解决学习中工作中所遇到的问题
05-16 654
变量覆盖漏洞 什么是变量覆盖? 变量覆盖指的是可以用我们的传参值替换程序原有的变量值 如下 <?php $a=123; $a=1; echo $a; ?> 怎么去寻找变量覆盖? 经常导致变量覆盖漏洞场景有: $$使用不当,extract()函数使用不当,parse_str()函数使用不当import_request_variables()使用不当,开启了全局变量注册等。 经常引发变量覆盖漏洞的函数有:extract() parse_str() import_request_variab
[zkaq靶场]变量覆盖--duomi cms通杀漏洞
wwxxee
05-12 984
变量覆盖 变量覆盖:值我们可以用我们的传参值去替换程序原有的变量值。 经常导致变量覆盖漏洞场景有: $$使用不当; extract()函数使用不当; parse_str()函数使用不当; import_request_variables()使用不当,开启了全局变量注册等。 $$ 导致的变量覆盖问题在CTF代码审计题目中经常在foreach中出现,如以下的示例代码,使用foreach来遍历数组中的值,然后再将获取到的数组键名作为变量,数组中的值作为变量的值。因此就产生了变量覆盖漏洞。 例如: <?php
Java项目-基于Springboot+Vue的会员制医疗预约系统设计与实现(源码+数据库脚本+部署视频+代码讲解视频+全套软件
06-19
【基于Springboot+Vue的会员制医疗预约服务管理信息系统的设计与实现】高分通过项目,已获导师指导。 本项目是一套基于Springboot+Vue的会员制医疗预约服务管理信息系统,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的Java学习者。也可作为课程设计、期末大作业 包含:项目源码、数据库脚本、开发说明文档、部署视频、代码讲解视频、全套软件等,该项目可以直接作为毕设使用。 项目都经过严格调试,确保可以运行! 项目详情: https://blog.csdn.net/u011832806/article/details/138750441
protobuf-3.19.3-cp38-cp38-manylinux2014_aarch64.whl
最新发布
06-19
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值