![](https://img-blog.csdnimg.cn/20201014180756918.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
漏洞复现
文章平均质量分 79
浔阳江头夜送客丶
这个作者很懒,什么都没留下…
展开
-
phpMyAdmin另一种getshell姿势(CVE-2018-12613)
我知道phpmyadmin的getshell大概有日志写马和select into outfile两种姿势,最近又新学了一种getshell姿势,赶紧记录一下思路大概就是我们执行的sql语句会被记录到你的session文件中去,那我们就可以写马到自己的session文件,然后利用远程文件包含漏洞(CVE-2018-12613),导致可以getshell漏洞复现环境:phpmyadmin4.8.1php 7.2.5登入后查询select “<?php phpinfo();?>”;[原创 2022-04-17 14:48:55 · 2528 阅读 · 0 评论 -
ECSHOP 2.7.x sql注入漏洞分析
ecshop将我们可控的参数渲染进模板时,其中利用到$fun($para) 进行动态调用,而通过精心构造的payload使得$fun和$para我们可控,导致可以调用任何函数,从而达到sql注入1. POC与复现POC:Referer: 554fcae493e564ee0dc75bdf2ebf94caads|a:2:{s:3:"num";s:1:"1";s:2:"id";s:52:"1' and updatexml(0x7e,concat(0x7e,database()),0x7e)#";}复现原创 2022-04-16 17:42:47 · 3368 阅读 · 0 评论 -
CMS常规漏洞审计
这个文章主要是记录一些我在审计过程中一些比较常规比较简单的漏洞,后续会一直更新DiscuzDiscuz! X 3.4 admincp_misc.php SQL注入漏洞这个漏洞就是没有对输入进行过滤导致的,没啥好说的source\admincp\admincp_misc.php 721行复现Discuz ML! V3.X 代码注入漏洞复现参考链接:https://www.anquanke.com/post/id/181887JoomlaSESSION反序列化导致的rce大概就是原创 2022-04-01 12:00:20 · 3124 阅读 · 0 评论 -
Thinkphp 5.x 未开启强制路由导致RCE分析
这种类型的漏洞是因为框架对于控制器名没有进行足够的校验,在没有开启强制路由的情况下,攻击者可以通过兼容模式调用任意的控制器的操作,从而达到远程命令执行。1. 影响版本5.0.7<=thinkphp<=5.0.225.1.x2. 漏洞复现环境:thinkphp5.0.20+php5.6.27+apache+phpstormPOC:?s=index/\think\app/invokefunction&function=call_user_func_array&vars原创 2022-03-31 17:19:35 · 2463 阅读 · 2 评论 -
Thinkphp 5.0.24变量覆盖漏洞导致RCE分析
大概思路就是我们可以修改requests类的filter属性、method属性以及get属性的值,从而在调用param方法时,call_user_func_array的值我们就可以控制,造成了远程代码执行漏洞。0. 大致流程经过入口文件进入run函数首先在116行根据url获取调度信息时,触发变量覆盖漏洞从而修改requests对象的属性值,然后获取?s=captcha的调度信息并返回给$dispatch再到139行进入exec函数并将$dispatch作为参数带入跟进后根据$dispatch原创 2022-03-30 22:05:32 · 13868 阅读 · 5 评论 -
Thinkphp 5.0.24反序列化漏洞导致RCE分析
1. 概述总体思路就是先全局搜索可以利用的魔法函数作为入口,比如__destruct,然后再一步步构造pop链往漏洞触发点跳根据大佬的指点漏洞触发点在thinkphp/library/think/console/Output.php的__call方法public function __call($method, $args) { if (in_array($method, $this->styles)) { array_unshift($args,原创 2022-03-27 23:46:14 · 10530 阅读 · 3 评论 -
PHPCMS 2008 远程代码执行漏洞
PHPCMS 2008存在的代码注入漏洞,导致攻击者可向网站上路径可控的文件写入任意内容,从而可能获取webshell并执行任意指令。漏洞分析与复现type.php 31行在17行判断template变量是否为空,如果不为空则值不变,然后在31行调用template函数我们首先看一下template变量是否为可控的看到在common.inc.php25行会对参数提前进行全局配置所以我们可以输入?template=payload 来构造payload好了,首先明确了变量可控,且没有进行任原创 2022-03-22 16:41:22 · 1875 阅读 · 0 评论 -
Discuz X 后台二次注入漏洞
漏洞分析uc_client\model\base.php 37行跟进继续跟进,可以看到此处进行了mysql查询,此处的UC_APPID查找其来源ctrl+左键点进去看一下发现是在配置文件里面写着的全局搜索一下UC_APPID发现是这样写进去的,首先在配置文件里面查找原先的define(‘UC_APPID’, …);然后用"define(‘UC_APPID’, ‘".$settingnew[‘uc’][‘appid’]."’)"进行替换,UC_APPID的值为$settingnew[原创 2022-03-20 15:33:39 · 2993 阅读 · 0 评论 -
CVE-2018-9175 DEDECMS后台getshell
基础dedecms对于输入是首先全局进行过滤的,在/common.inc.php中注册(赋值变量)并过滤外部提交的参数,下图可以看到对输入参数进行addslashes漏洞分析首先在 dede\sys_verifies.php的152行159-160行创建配置文件modifytmp.inc161-162行给其中写入一些php的头和内容166行中refiles参数是我们可控的,看起来默认是数组格式,对于refiles里面每一个值从168-180行进行一些操作,注意最重要的是180行,前面都无所谓原创 2022-03-19 13:35:48 · 1642 阅读 · 0 评论