发卡网shell漏洞_个人发卡源码审计【getshell+前台任意重置】【跟随大哥的脚步0x002】...

最新推荐文章于 2024-08-12 15:40:51 发布
最新推荐文章于 2024-08-12 15:40:51 发布
阅读量988 收藏 1
点赞数
文章标签: 发卡网shell漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39596975/article/details/113006084
版权

本帖最后由 Adian大蝈蝈 于 2020-8-13 04:07 编辑

个人发卡平台美化加强版

虽然说是加强版  但是我也没见着加强在哪里

0x001

前台:

8f3ff2fbfdd7c7c8339951a6542705fa.gif

发卡1.png (106.75 KB, 下载次数: 0)

2020-8-13 11:16 上传

初略的看了一下前台 qnmd就两个功能是自己的其他都是外接的功能 这谁顶得住阿

8f3ff2fbfdd7c7c8339951a6542705fa.gif

发卡2.jpg (4.58 KB, 下载次数: 1)

2020-8-13 11:19 上传

直接转战后台

0x002

后台头像getshell

进来看到后台 由于上一次就是上传的getshell  所以这次直接往上传点冲

[HTML] 纯文本查看 复制代码admin/set.php?mod=upimg

上传之后的路径:

[HTML] 纯文本查看 复制代码assets/imgs/logo.php

到了这里我们面临一个问题  没有管理员账号密码的话

你搞个der的getshell阿

最低0.47元/天 解锁文章
weixin_39596975
关注
2018版PHP自动发卡源码
11-21
演示站运行环境:win2008系统 + php5.3 安装方法1:将源码上传至根目录,运行/install按提示进行安装(强烈建议) 安装方法2:将源码上传至根目录,手工导入数据库kami.sql后,修改config.php配置信息 后台地址:你的域名/tb888 用户名和登陆密码都是admin 安全密码:aa6688 特别注意:安装好后一定要修改后台路径,用户名和2个密码! 安全密码修改:tb888/ajax.php文件中17行 此源码已对接ABC支付接口+码支付接口 接口申请无需任何资料,ABC支付接口申请地址:http://pay.sddyun.cn/user/reg.php 码支付接口申请地址:https://codepay.fateqq.com/ ABC支付接口修改下面两个文件: other/submit.php 51行 修改成你自己的商户ID other/epay/epay.config.php 修改成你自己的商户ID和商户密钥 码支付接口修改下面两个文件: other1/submit.php 24和25行 修改成你自己的码支付ID和通信密钥 other1/codepay_return.php 14行 修改成你自己的通信密钥 两个接口如何切换: 现在源码默认的是ABC支付接口,如果切换成码支付的,修改js/ayangw.js 第95行 [removed].href ="other/submit.php?"+u; 这个是ABC云支付的 [removed].href ="other1/submit.php?"+u; 这个是码支付的 注:更改后如果没有切换,刷新一下你的址/js/ayangw.js这个文件,是缓存问题 提醒:以上文件千万不要使用记事本修改,推荐使用DW8等专用编辑工具 有人会问为什么不把支付接口弄到后台?那样设置还方便,回答是你方便了,黑客也方便了! 这样操作在服务器外是不可能被恶意修改支付接口导致资金损失的!
某彩虹资源共享通杀漏洞
qq_45832835的博客
07-24 3961
任意文件读取是属于文件操作漏洞的一种。 一般任意文件读取漏洞可以读取配置的信息甚至系统文件更重要。 是的你没看错,通杀0day 在某天上课的时候闲着,音乐老师放着好运来,好机会啊,赶紧挖个洞看看,接着逛了逛某侠 看到这种表白墙,我就肯定想刷波xss跟sql注入 (遇到这种表白站也是通杀,cont.php处存着sql注入) 谁知点开一看,什么花里胡哨资源共享,看了看可以上传文件,不慌,看看能不能拿下webshell 居然是下载,反正是下载也不多琢磨,看看其他漏洞 随便查看个文件看到name=那里貌似是查看
漏洞复现】鲸发卡系统 /pay/xinhui/request_post 任意文件读取漏洞
最新发布
网安小白
08-12 716
发卡系统 /pay/xinhui/request_post 接口处存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件),导致站处于极度不安全状态。
发卡评估报告
weixin_48421613的博客
09-15 948
发卡平台评估报告 概述 发卡平台是一套基于PHP+MYSQL为核心开发、免费、开源的发卡系统。支持支付宝,财付通,各类点卡等支付方式,适合个人或者企业搭建发卡平台。 发卡平台存在SQL注入、XSS注入、无密码登录、文件上传和文件解析漏洞漏洞描述 1.前台卡密购买sql注入,相关文件:./ajax.php及./getkm.php 2.前台卡密购买xss注入,相关文件:./ajax.php 3.失效的访问控制 4.信息泄露 5.文件上传 6.代码注入,相关文件:emailConfig.php SQL注入 前
异次元发卡最新漏洞0day(XSS组合拳)
白昼小丑的博客
01-18 2028
异次元商店头像上传处存在存储型XSS注入(user、admin均存在)。其中,user处有过滤,admin无。 将恶意脚本插入后,管理员访问用户管理页面即可执行恶意脚本。 恶意脚本执行后,会新增一个管理员用户,进而获得权限。鉴于漏洞还没有泛滥,而且很多站都有漏洞。EXP暂时不公开。需要学习可以加入知识星球
彩虹云商城发卡程序源代码v6.9.0免授权版
阿辉博客
10-21 1879
下载地址:https://url16.ctfile.com/f/42409216-961647882-a71631?p=5558 (访问密码: 5558)彩虹云商城支持九五社区系统、乐毅社区系统、直客SUP系统、Cardletter等十几个销售系统对接。支持商品价格监控、订单状态同步、自定义支付接口、用户注册、分站系统、微信QQ快速登录和订单失败通知。源代码中的敏感信息已经去除,后门免授权,可以放心使用。将文件上传到根目录,解压,根据提示访问域名安装。系统要求:PHP推荐7.0及以上版本。
揭秘知宇thinkphp企业级自动发卡系统源码漏洞
2401_84123232的博客
04-20 1052
2、如果平台昨日订单总额大于2000元,就会在application/wechat/controller/目录下创建Action.php文件,这个Action.php文件的代码是远程获取的,而且做了加密,具体做什么并不清楚,但一定是黑客用来黑平台的手段,有可能是获取平台的用户信息,有可能是其他不可告人的勾当。**由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
无加密无授权个人发卡源码.zip_KM发卡源码_worse5dk_个人发卡源码_发卡源码_授权
07-14
【标题】"无加密无授权个人发卡源码.zip_KM发卡源码_worse5dk_个人发卡源码_发卡源码_授权" 提供了一个关于个人发卡源码的资源,其中包含KM发卡系统的源代码,由worse5dk开发。这个源码的特点是没有经过加密...
发卡源码_最新发卡源码下载.rar
11-11
总的来说,"发卡源码_最新发卡源码下载.rar" 提供了一套完整的解决方案,适合那些想要搭建自己的发卡平台的企业或个人。通过这个源码,你可以快速启动在线发卡业务,享受便捷的自动化流程,并利用集成的支付关...
个人发卡源码_2020发卡源码_个人发卡源码_
10-04
微站-宝塔版建站系统安装说明:上传到空间后访问域名/install安装。V8.0(正式版)439761.修复项目分类不显示bug2.修复登录异常导致更新页面出现的异常3.修复因宝塔面板开启了BasicAuth认证导致无法连接服务器问题...
个人发卡.zip_helpful7qx_个人卡密_个人发卡loog_发卡付跳转_真牛发卡
07-15
个人发卡】是一个在线平台,用于个人或商家快速发行和管理电子卡密,如游戏点卡、会员卡、优惠券等。标题中的“个人发卡.zip”表明这是一个包含该平台源代码的压缩包,可能供用户下载并部署在自己的服务器上。...
个人发卡(完全无后门)可过D盾扫描
09-12
0后门。放心使用,经过D盾扫描0后门。不放心可以自己用D盾扫描一下后门
发卡源码
04-26
此版本是个人发卡V5免授权版本【加密的】 更新日志 1.新增批量购买/数量选择 2.更新支付接口,增加自定义易支付接口 3.优化后台界面,扁平化风格 4.新增用户卡密导出/后台卡密分类导出 5.卡密分类删除清空 6.新增图文浏览购买 7.修复分享链接模板问题 8.新增黑名单功能 9.新增系统日志 更新日志 1.新增首页模板 支持后台切换 2.补单改为监控模式 3.修复邮箱发送 4.加强资金安全,不能随意修改商户账号 5.修复V3版本的漏洞【之前上那个有严重漏洞,大家千万别用】 后台有两个模板可以切割,可以自行切换自己喜欢的模板 请一定要配置一下监控文件 自动发送邮件:http://域名/ayangw/mon.php 自动补单:http://域名/ayangw/auto.php 官 http://pay.chijigua.club/ 接口请到http://pay.chijigua.club/
修复过的知宇自动发卡系统源码.zip
03-23
修复了原来不能用的短链接,去除没有用的支付接口(还可以安装回来!),删除源码以前的数据 =#=#=#=#=#=#=#=#=#=#=#=#= 安装好数据库zyu.sql之后再配置好application\database.php
泽宇发卡OR知宇发卡_发卡通杀.rar
04-09
发卡平台通杀漏洞利用脚本,执行后会在目标站上生成shell.php 原理未授权可上传文件漏洞 + 框架远程执行函数漏洞 使用时注意看代码注释。
2021年最新发卡代码 最新彩虹发卡完整运营版+高仿优云宝模板
03-14
这套是确定可用的一套发卡,如果要用到正式运用的话,一定要审计过代码,确定没有 shell 点再运营用。 有需要的自己拿去吧。
发卡源码发卡11.71免授权源码
06-18
发卡源码与鲸发卡11.71免授权源码详解】 发卡是一种在线自动销售数字商品的平台,常用于销售虚拟产品如游戏点卡、会员卡密、充值卡等。"鲸发卡11.71免授权源码"是一款专门用于搭建发卡的开源软件,其核心...
YKfaka优卡自动发卡程序漏洞合集(这是篇水文)
课嗨教育的专栏
08-09 3053
alert(/xss/)
Thinkphp企业级知宇自动发卡系统源码bug漏洞分析和修复
美奇软件开发工作室
04-29 7249
很多经营自动发卡业务的商家都是使用知宇的自动发卡系统,这个系统功能强大、业务完善,是个很不错的程序。这个系统使用Thinkphp5.0内核开发的,是一个完全开源的项目,这套系统在上早已泛滥(不值钱),泛滥的程序难免会被黑客利用,黑客通过研究这套系统,发现了系统不少的漏洞,也有一些黑客故意在源代码里植入木马或者后门,然后再发布出去给其他人使用,黑客的目的,无非就是想通过一些隐形的技术手段,修改系统的收款通道,从中获取利益。下面一起来分析这套系统的漏洞
免签约卡密提取源码fk.zip - MD5 FK_txprotect.php
这种模式降低了进入门槛,使得小型商户或者个人开发者可以快速部署在线支付功能,而不需要支付高昂的签约费用或者承担复杂的合同义务。在该PHP源码的上下文中,免签约付款意味着用户可以无需签署协议即可使用系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值