Python微信订餐小程序课程视频
https://edu.csdn.net/course/detail/36074
Python实战量化交易理财系统
https://edu.csdn.net/course/detail/35475
这个漏洞复现相对来说很简单,而且这个Anchor CMS也十分适合新手训练代码审计能力。里面是一个php框架的轻量级设计,通过路由实现的传递参数。
0x00 漏洞介绍
Anchor(CMS)是一款优秀的轻量级PHP内容与文章管理程序,并且有着很好的扩展性。攻击者可以构造恶意的html文件诱导网站管理员点击,从而进行删除用户等敏感操作,典型的CSRF漏洞,属于web应用类漏洞。
0x01 漏洞环境
- 攻击机、网站管理员:192.168.91.1 windows10
- 目标机:192.168.91.144 Ubuntu 18.04-Server
- 工具:BurpSuite2021以及CSRF POC generator插件、Firefox(CSRF漏洞复现时,不能使用Chrome,因其自带屏蔽CSRF)
- CMS版本:Anchor 0.12.7
0x02 漏洞搭建
1、安装完LAMP后,访问网址,显示失败。是因为Anchor CMS不会自动安装,需要在终端上安装,即
http
apt install -y composer
cd /var/www/html
composer install
2、之后再次访问网址就可以看到
3、点击安装之后会出现,是因为我没有执行apt install libapache2-mod-php
4、之后就进入到安装语言了,随便选了一个