upload.php漏洞,ProjectPier 'upload.php'任意文件上传漏洞

最新推荐文章于 2024-07-11 15:27:16 发布
最新推荐文章于 2024-07-11 15:27:16 发布
阅读量112 收藏
点赞数
文章标签: upload.php漏洞
ProjectPier是一款基于PHP+MySQL的开源项目管理工具,其0.8.8及早期版本存在安全漏洞,允许攻击者通过Web服务器执行任意代码,可能导致权限提升和非法访问。目前官方尚未发布补丁,建议用户密切关注更新以保护系统安全。
摘要由CSDN通过智能技术生成

发布日期:2012-10-03

更新日期:2012-10-16

受影响系统:

ProjectPier ProjectPier

描述:

--------------------------------------------------------------------------------

BUGTRAQ  ID: 55758

ProjectPier是一款开源的项目管理程序,基于PHP+MySQL架构。

ProjectPier v0.8.8及更早版本存在安全漏洞,可导致攻击者在Web服务器进程的上下文中上传并运行任意代码,造成非法访问或权限提升。

*>

建议:

--------------------------------------------------------------------------------

厂商补丁:

ProjectPier

-----------

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

0b1331709591d260c1c78e86d0c51c18.png

Xiaohu Zhu
关注
通达OA v2017 action_upload.php 任意文件上传漏洞.md
09-07
通达OA漏洞合集
PHP文件上传漏洞的前因后果
cul1n的博客
02-07 1416
文件上传是常见的网络服务提供点,我们面对文件上传的时候,其实思路不只是去拿到Webshell,也可以根据其服务提供的特点,尝试去挖掘XSS或者其他方面的漏洞,不失为一种好的选择,本篇文章对文件上传PHP代码的基础做了详细的介绍,旨在告诉初学者常见的文件上传类型及原理,开发者是如何部署文件上传服务的,以及如何常见的过滤手法是什么,希望这篇文章能够对初学者有所帮助
开源项目管理软件ProjectPier安装笔记
weixin_34184561的博客
03-07 246
ProjectPier 是一款开源的项目管理程序,基于 PHP+MySQL 架构。用户可以通过 ProjectPier 的 web 界面对任务、项目和团队进行管理。ProjectPier 支持多项目和多团队,它帮助团队进行沟通与协作,并通过任务设置、讨论版、里程碑、站内信息等功能使得项目管理更加透明和简单。以上是摘自开源中国的介绍,我试用后感觉比较清晰,但是比较合适小团队用,...
ProjectPier汉化方法
calatustela的专栏
11-10 293
ProjectPier我是一款优秀的项目管理软件,适合小型团队使用。而且还提供了多语言环境,下面介绍一下如何使用中文语言包。首先要感谢一下刘征 Martin Liu(http://martinliu.cn)他的努力使我们可以使用该软件的中文界面。1、下载中文语言包http://www.projectpier.org/node/54/release2、解压缩到“{安装路径}/language/”目录...
2024年10款免费的项目管理软件推荐
最新发布
qq_29893481的博客
07-11 1701
本文向大家推荐10款2024年免费使用的项目管理软件,其中包括桌面应用和基于Web平台的多种产品,同时还涵盖了一些优秀的开源软件。
PHP文件上传漏洞原理以及防御姿势
2301_77152761的博客
04-05 1230
0x00 漏洞描述​ 在实际开发过程中文件上传的功能时十分常见的,比如博客系统用户需要文件上传功能来上传自己的头像,写博客时需要上传图片来丰富自己的文章,购物系统在识图搜索时也需要上传图片等,文件上传功能固然重要,但是如果在实现相应功能时没有注意安全保护措施,造成的损失可能十分巨大,为了学习和研究文件上传功能的安全实现方法,我将在下文分析一些常见的文件上传安全措施和一些绕过方法。​ 我按照最常见的上传功能–上传图片来分析这个漏洞
文件上传upload.php
03-16
文件上传upload.php
PHP基于session.upload_progress 实现文件上传进度显示功能详解
10-16
主要介绍了PHP基于session.upload_progress 实现文件上传进度显示功能,结合实例形式分析了php5.4版本session.upload_progress特性实现文件上传进度显示的相关操作技巧,需要的朋友可以参考下
jsp--upload.rar_jsp 文件_upload.jsp _文件上传
09-23
在这个名为"jsp--upload.rar"的压缩包中,我们重点关注的是文件上传功能,具体体现在"upload.jsp"这个文件上。 文件上传是Web应用中的常见需求,它允许用户将本地文件传输到服务器,以便于存储、处理或共享。在JSP...
php使用upload封装类上传文件.zip
07-11
require_once 'Upload.php'; // 引入upload类库 $uploader = new Upload(); // 创建上传类实例 $uploader->setAllowedTypes(['jpg', 'png', 'gif']); // 设置允许的文件类型 $uploader->setMaxSize(1048576); // ...
ProjectPier系统最新官方版
04-03
ProjectPier系统最新官方版,ProjectPier是一款开源的项目管理程序,基于PHP+MySQL架构。用户可以通过ProjectPier的web界面对任务、项目和团队进行管理。ProjectPier支持多项目和多团队,它帮助团队进行沟通与协作,并通过任务设置、讨论版、里程碑、站内信息等功能使得项目管理更加透明和简单。 projectpier0.8.8更新说明: -增加(触点) -现在支持联系(感谢Timothee鲍彻和瑞恩十字)。 -新增(仪表板) -我的文件显示中,可以通过用户(超过项目)的所有重要文件。 -新增(日期时间) -页脚显示日期,时间,时区,夏令时和[本周] PP工作英寸 -添加(日期FMT) -增加语言项目 输入的日期格式 来控制输入的日期格式。 -新增(国际化) -国际化支持(内ProjectPier编辑字符串) -增加(链接) -支持链接的描述和标识。 -添加(链接) -可以按项目的用户添加链接。 -添加(链接) -网址的快照,包括编辑选项。 -新增(不发送) -配置选项默认的发送通知(见功能) -新增(许可) -很多更多的权限。 -增加(项目) -支持子项目。 -增加(报告) -横道图,思维导图。 -新增(任务) -添加时间链接快速增加的时间,如果时间插件激活。 -新增(时间) -初始化为从添加时间链接和缺省描述的任务。 -新增(门票) -分配到的里程碑。 -新增(门票) -下载所有门票。 -新增(维基) -公共维基包括页面发布选项。 -增加(节点130) -为管理员全局搜索。 -添加(节点1198) -任务列表和文件支持选择通知收件人的意见。 -新增(节点2157) -下拉配置选项登录后选择行动。 -添加(节点2201) -提示报警与的iCalendar订阅 -添加(节点2220) -进度条的里程碑。 -添加(节点2224) -进度条的项目。 -添加(节点2242) -通知与警报认购的iCalendar -增加(节点2300) -选项从用户界面隐藏应用程序日志。 -改变(节点1915) -维基页面的名字在侧栏中订购。 -改变(节点2279) -页面标题使用H1和H2标签。 -改变(登录) -语言选项现在是在安装语言同步 -改变(登录) -主题选项现在与已经安装的主题同步 -改变(PHP) -淡开放标签是走了(使用要对)。 -改变(任务) -抑制空时进度条。 -改变(任务) -隐藏任务0在侧边栏中发表评论时0任务。 -改变(时间) -移动的文本从代码到语言文件。 -改变(通知) -点击公司复选框选择所有收件人。 -改变(通知) -收件人都显示按字母顺序排列。 -改变(通知) -修正了几乎所有的意见,使用恰当的语言元素。 -改变(主题) -海洋:更多视图选项和操作菜单,而不是行动吧。 -改变(主题) -海洋:块是可折叠的(如里程碑卡,应用程序日志,日志门票等) -改变(主题) -海洋:错误和成功的消息可点击删除。 -改变(主题) -海洋:成功的消息淡出5秒后, -改变(主题) -更统一使用的样式(如标题,而不是milestoneHeader) -改变(主题) -标签被移除时该用户不能访问,给它 -改变(主题) -海洋:长文本现在可以正确格式化。 -改变(升级) -完全自动化的数据库升级。 -删除(节点2213) - add_comment.php。 问题: -固定(安装) -初始数据的SQL已经失踪了登录页面,消息和标志。 -固定(上载) -上传失败的标志和头像时,没有出席图像功能,现在给出一个正确的消息。 -固定(时间) -错误的时候做的日期是空的。 没有翻译日期- -固定(节点672) -固定(节点1369) -在没有更多的iCalendar双项 -固定(节点1490) -上传失败时系统的上传目录不可访问。 -固定(节点2026) - RSS:Outlook收到重复的项目 -固定(节点2044) -错误时,单击标签。 -固定(节点2047) -搜索形式。 -固定(节点2048) -私人意见重叠。 -固定(节点2053) -为重音小写字符 -固定(节点2058) -缺少图标logtypes。 -固定(节点2064) -本地化扩大崩溃。 -固定(节点2103) -所有的短标签已成为长。 -固定(节点2167) -固定侧边栏大小, -固定(节点2175) -允许其他日期的输入格式比米/ D / Y。 -固定(节点2180) -修正了未定义的变量门票插件。 -固定(节点2186) -邮政编码和谷歌与国家地图。 -固定(节点2205) -下载所有项目任务。 -固定(节点2220) -隐藏的里程碑概述私有元素。
ProjectPier-Core:ProjectPier是一个免费的开放源代码PHP应用程序,用于通过直观的Web界面管理任务,项目和团队
05-15
项目码头 ProjectPier是一个免费的开放源代码PHP应用程序,用于通过直观的Web界面管理任务,项目和团队。 ( ) 如果您有兴趣为ProjectPier进行贡献,错误修复,...请访问 报告错误 报告使用此软件发现的所有错误对于您来说绝对至关重要。 如果不这样做,它们将无法修复。 如果您发现错误,请检查错误跟踪器以确保未知。 如果确定已发现新错误,请在GitHub上将其登录到问题跟踪器。 如果您没有发现任何错误,我们也需要听听! 请让我们知道您正在使用哪种类型的系统以及您的测试范围。 请提供操作系统,Apache,PHP和MySQL版本和/或进行测试的网络托管服务提供商的名称。 已专门创建了一个新论坛来收集和讨论此格式,该论坛位于[ ]。 系统要求 ProjectPier需要使用PHP Web服务器和MySQL 。 推荐的Web服务器是Apache ,但是据报道IIS 5
ProjectPier项目管理程序 0.88.zip
05-24
ProjectPier是一款开源的项目管理程序,基于PHP MySQL架构。用户可以通过ProjectPier的web界面对任务、项目和团队进行管理。ProjectPier支持多项目和多团队,它帮助团队进行沟通与协作,并通过任务设置、讨论版、里程碑、站内信息等功能使得项目管理更加透明和简单。
Project2(客户信息管理软件).zip
07-09
本教程特点: 1.更适合零基础学员: ·自Java语言起源始,循序渐进,知识点剖析细致且每章配备大量随堂练习,让你步步为营,学得透彻、练得明白 ·拒绝晦涩难懂的呆板教学,宋老师语言生动幽默,举例形象生动深入浅出,迅速让你把握问题本质,四两拨千斤 2.课程内容推陈出新: ·基于JDK 11,将Java8、Java9、Java10、Java11新特性一网打尽 ·课程中,Eclipse和IDEA这两种企业一线开发环境都使用到了 3.技术讲解更深入、更全面: ·课程共30天,715个知识视频小节,涉及主流Java使用的方方面面,全而不冗余 ·全程内容涵盖数据结构、设计模式、JVM内存结构等深度技术 ·企业级笔试面试题目深入源码级讲解,拒绝死记硬背 4.代码量更大、案例更丰富、更贴近实战: ·Java语言基础阶段:12720行代码,Java语言高级阶段:11684行代码 ·课堂实战项目3套,课后实战项目2套 ·近百道企业面试真题精讲精练、极具实战性
projectpier v0.8.8 稳定版.zip
07-16
ProjectPier是一款开源的项目管理程序,基于PHP MySQL架构。用户可以通过ProjectPier的web界面对任务、项目和团队进行管理。ProjectPier支持多项目和多团队,它帮助团队进行沟通与协作,并通过任务设置、讨论版、里程碑、站内信息等功能使得项目管理更加透明和简单。   projectpier0.8.8更新说明: -增加(触点) -现在支持联系(感谢Timothee鲍彻和瑞恩十字)。 -新增(仪表板) -我的文件显示中,可以通过用户(超过项目)的所有重要文件。 -新增(日期时间) -页脚显示日期,时间,时区,夏令时和[本周] PP工作英寸 -添加(日期FMT) -增加语言项目'输入的日期格式“来控制输入的日期格式。 -新增(国际化) -国际化支持(内ProjectPier编辑字符串) -增加(链接) -支持链接的描述和标识。 -添加(链接) -可以按项目的用户添加链接。 -添加(链接) -网址的快照,包括编辑选项。 -新增(不发送) -配置选项默认的发送通知(见功能) -新增(许可) -很多更多的权限。 -增加(项目) -支持子项目。 -增加(报告) -横道图,思维导图。 -新增(任务) -添加时间链接快速增加的时间,如果时间插件激活。 -新增(时间) -初始化为从添加时间链接和缺省描述的任务。 -新增(门票) -分配到的里程碑。 -新增(门票) -下载所有门票。 -新增(维基) -公共维基包括页面发布选项。 -增加(节点130) -为管理员全局搜索。 -添加(节点1198) -任务列表和文件支持选择通知收件人的意见。 -新增(节点2157) -下拉配置选项登录后选择行动。 -添加(节点2201) -提示报警与的iCalendar订阅 -添加(节点2220) -进度条的里程碑。 -添加(节点2224) -进度条的项目。 -添加(节点2242) -通知与警报认购的iCalendar -增加(节点2300) -选项从用户界面隐藏应用程序日志。 -改变(节点1915) -维基页面的名字在侧栏中订购。 -改变(节点2279) -页面标题使用H1和H2标签。 -改变(登录) -语言选项现在是在安装语言同步 -改变(登录) -主题选项现在与已经安装的主题同步 -改变(PHP) -淡开放标签是走了(使用要对)。 -改变(任务) -抑制空时进度条。 -改变(任务) -隐藏任务0在侧边栏中发表评论时0任务。 -改变(时间) -移动的文本从代码到语言文件。 -改变(通知) -点击公司复选框选择所有收件人。 -改变(通知) -收件人都显示按字母顺序排列。 -改变(通知) -修正了几乎所有的意见,使用恰当的语言元素。 -改变(主题) -海洋:更多视图选项和操作菜单,而不是行动吧。 -改变(主题) -海洋:块是可折叠的(如里程碑卡,应用程序日志,日志门票等) -改变(主题) -海洋:错误和成功的消息可点击删除。 -改变(主题) -海洋:成功的消息淡出5秒后, -改变(主题) -更统一使用的样式(如标题,而不是milestoneHeader) -改变(主题) -标签被移除时该用户不能访问,给它 -改变(主题) -海洋:长文本现在可以正确格式化。 -改变(升级) -完全自动化的数据库升级。 -删除(节点2213) - add_comment.php。 问题: -固定(安装) -初始数据的SQL已经失踪了登录页面,消息和标志。 -固定(上载) -上传失败的标志和头像时,没有出席图像功能,现在给出一个正确的消息。 -固定(时间) -错误的时候做的日期是空的。 没有翻译日期- -固定(节点672) -固定(节点1369) -在没有更多的iCalendar双项 -固定(节点1490) -上传失败时系统的上传目录不可访问。 -固定(节点2026) - RSS:Outlook收到重复的项目 -固定(节点2044) -错误时,单击标签。 -固定(节点2047) -搜索形式。 -固定(节点2048) -私人意见重叠。 -固定(节点2053) -为重音小写字符 -固定(节点2058) -缺少图标logtypes。 -固定(节点2064) -本地化扩大崩溃。 -固定(节点2103) -所有的短标签已成为长。 -固定(节点2167) -固定侧边栏大小, -固定(节点2175) -允许其他日期的输入格式比米/ D / Y。 -固定(节点2180) -修正了未定义的变量门票插件。 -固定(节点2186) -邮政编码和谷歌与国家地图。 -固定(节点2205) -下载所有项目任务。 -固定(节点2220) -隐藏的里程碑概述私有元素。
upload-文件上传漏洞笔记
2202_75361164的博客
05-28 233
单循环绕过:shell.php. .;如果服务器给.php后缀添加了处理器:AddHandler application/x-httpd-php.php 那么,在有多个后缀的情况下,只要包含.php后缀的文件就会被识别出php文件进行解析,不需要是最后一个后缀,可绕过白名单过滤,如:shell.php.jpg。若有则进行绕过,检查php绕过(短标签绕过):<?若没有绕过就可以进行.htaccess绕过和.user.ini绕过,
PHP代码审计7—文件上传漏洞
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
08-01 3515
文件上传基础整理与示例分析
Goby 漏洞发布|电信网关配置管理系统后台 /manager/teletext/material/upload.php 文件上传漏洞
m0_46699477的博客
06-21 564
中国电信集团有限公司(英文名称“China Telecom”、简称“中国电信”)成立于2000年9月,是中国特大型国有通信企业、上海世博会全球合作伙伴。 电信网关配置管理系统后台 /manager/teletext/material/upload.php 存在文件上传漏洞,攻击者可以利用文件上传漏洞获取系统权限。
PHP 代码审计 --------- 文件上传漏洞
qq_62344745的博客
04-19 578
文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直接和“文件上传”本身是没有问题,有问题的是文件上传后,服有效的,务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。
通达OA v2017 action_upload.php高危任意文件上传漏洞解析
通达OA v2017版本中的action_upload.php文件存在一个严重的任意文件上传漏洞。这个漏洞源于该文件的过滤机制存在缺陷,使得攻击者能够绕过安全控制,无需任何权限就能将任意类型的文件上传到系统的服务器上。这种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值