ZZCMS201910——二次安装漏洞

最新推荐文章于 2024-04-30 11:29:45 发布
最新推荐文章于 2024-04-30 11:29:45 发布
阅读量587 收藏
点赞数
分类专栏: php代码审计 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/quexiyi8051/article/details/127741581
版权

ZZCMS201910——二次安装漏洞

1.zzcms完成安装后,页面会弹出以下内容。思考从一个角度出发:当前存在提示的文件卡着我不给我安装!因为这个安装的行为是一个可互动性的,既然是可互动性,这至少有可能是可以绕过的。

在这里插入图片描述
2.关键字:
安装向导已运行安装过,如需重安装,请删除 /install/install.lock 文件
以上字符串是我们需要寻找到指定源码的关键点;
首先安装主页目录很明显是…/install/index, 查找了include包含这些并不存在
之后果断文件全局搜索,发现再step_1.php文件下:

if(file_exists("install.lock")){
   
echo
最低0.47元/天 解锁文章
SeanDon0000
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
zzcms201910源码包(免费下载)
10-28
zzcms201910源码包】是一个针对中文网站内容管理系统的开源软件,主要为中小企业和个人用户提供便捷的内容发布、管理与维护功能。这个源码包的提供旨在克服了部分用户在寻找此类资源时遇到的困难,比如需要消耗...
ZZCMS搭建
weixin_53323333的博客
06-22 593
4.傻瓜式下一步。
ZZCMS漏洞复现和代码审计
qq_48511129的博客
01-25 6814
ZZCMS漏洞复现和代码审计
zzcms审计-另类的漏洞
最新发布
2301_80127209的博客
04-30 239
ZZCMS是专门帮助企业建立招商系统的一个CMS,此次出现问题的是ZZCMS201910zzcms2020这两个版本(其他的版本我还没有具体去看),此cms的官网为http://www.zzcms.net/他这里最根本的原因就是利用cookie去获取要删除的数据表,却没有对用户可以传入的数据表名字进行限制,这样就导致了可以删除随便哪一张表,只要这个数据表里面含有id这个字段。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。二、漏洞发现过程分析。
ZZCMS201910审计——存储XSS漏洞
网络设备配置-华为
11-06 909
zzcms201910的存储型xss代码审计笔记
系统重装漏洞
qq_45301512的博客
03-09 4020
这里简单的说一下,前面的系统重装漏洞没什么好说的,跟zzcms差不多,主要是后面如何获取webshell,fengcms的源代码中存在如下图的一个写入配置文件的代码,也就是fopen那里,字母w意思就是以写入的方式打开文件,然后这里没过滤写入的参数,就会产生任意代码写入配置文件的漏洞。这段代码的意思就是如果post参数中存在step,那么step变量的值就等于post参数中step的值,如果post参数中不存在step,那么step变量的值就等于1。其实就在index.php文件上方的代码中。
ZZCMS201910代码审计
ztK63LrD的博客
09-11 3284
现在开始分析zzcms中 产生sql注入的原理以及代码审计的过程。先用seay审计大概过一遍此cms中可能存在的漏洞,然后在admin/ask.php的文件看到这个可能存在漏洞的点,这里的sql语句中$_COOKIE["askbigclassid"]这个参数可控,此时就有一个想法我是不是可以将我所想查询的内容通过构造特殊的sql语句插入到这个变量中,进行自己想查询的东西,这里是不是就完成了一个sql注入攻击。
zzcms,招商网cms,专业做招商网,zzcms专业做招商网zzcms201910.zip
01-15
在文件“zzcms201910”中,可能包含了ZZCMS的源代码、数据库结构、安装指南、示例数据等内容。用户可以通过解压文件,按照提供的文档指示进行安装和配置,以搭建自己的招商加盟网站。安装过程中,需要注意兼容性问题...
ZZCMS201910代码审计1
08-03
ZZCMS201910 代码审计是一个深入理解软件安全性和进行漏洞挖掘的过程,主要关注的是SQL注入漏洞。SQL注入是一种常见的网络安全问题,它发生在应用程序未能充分验证或过滤用户输入,导致恶意用户可以通过构造特定的...
zzcms2019.zip
08-22
在“zzcms2019.zip”中,你可以模拟进行代码审查,找出潜在的安全漏洞,例如SQL注入、跨站脚本(XSS)攻击、文件包含漏洞等。这将帮助你了解如何编写更安全的PHP代码,预防黑客攻击。在审计过程中,你需要关注输入...
zzcms靶场搭建
Gjqhs的博客
03-03 1412
zzcms8.2需要把install.lock文件删除了,安装 可能不一样,自行删改 http://127.0.0.1/zzcms/install/index.php
zzcms SP3 漏洞解析
m0_46684679的博客
12-15 3553
zzcms SP3 漏洞解析 cms来源: ZZCMS SP3 URL: www.zzcms.com 作者:壮壮 很老的cms版本,应该没人会用了吧,这里找找简单地漏洞 有使用seay扫描器扫描,但误报率高,只能简单的参考,实际还是得自己动手看代码(…) 1.xss储存型漏洞 范围:Book.php留言界面 测试后: 有轻微的参数过滤痕迹,但并不完全,还是能简单的在管理页面执行恶意xss代码 恶意代码js: <IMG SRC="javascript:alert(1);"
zzcms靶场测试
喜欢创作各种技术类文章,希望可以帮到你
01-23 1649
(1)过滤输入的数据,对例如:“ ‘ ”,“ “ ”,” “,” on* “,script、iframe等危险字符进行严格的检查。对输出的数据也要检查,数据库里的值有可能会在一个大网站的多处都有输出,即使在输入做了编码等操作,在各处的输出点时也要进行检查。为了应对这些潜在的风险,企业应采取一系列的安全措施,包括但不限于更新软件至最新的安全补丁版本、加强内部管理和加密敏感信息,同时建立和完善安全策略和措施,并进行定期的安全检查和测试。(3)不仅在客户端做数据的验证与过滤,关键的过滤步骤在服务端进行。
zzcms2019重装漏洞审计
Cvjark的博客
03-28 737
审计cms的重装业务逻辑并实现bypass达到系统重装的目的 漏洞zzcms.com/install/index.php 附加调试器,访问:http://www.zzcms.com/install/index.php?XDEBUG_SESSION_START=16156(XDEBUG_SESSION_START是调试器附加的)访问结果如下图: 根据页面回显信息,keyword是:/install/install.lock文件,回到index.php代码,索引这个字段,发现0 found 试试全局f
ZZCMS201910审计入门和SQL注入
网络设备配置-华为
11-09 657
php代码审计
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值