PigCMS action_flashUpload 任意文件上传漏洞

已于 2024-03-29 13:51:37 修改
阅读量488 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 漏洞复现 文章标签: web安全
于 2024-03-29 13:51:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43567873/article/details/137142958
本文介绍了PigCMS系统的一个严重安全问题——前台任意文件上传漏洞,详细阐述了漏洞描述、影响版本、复现过程以及修复建议。通过Fofa搜索发现有8,091个资产受到影响,目前尚无官方漏洞编号。攻击者可以利用此漏洞获取网站权限,建议用户尽快更新官方补丁以防止潜在风险。" 96296962,7979107,React 懒加载与Suspense:性能优化实践,"['React', 'Suspense', 'lazy', '错误边界(Error Boundaries)', '代码优化']

产品简介

PigCms(又称小猪CMS)是一个基于php+mysql的多用户微信营销系统,是国内使用较多、功能强大、性能稳定的多用户微信营销系统。

image-20240328143321732

漏洞描述

PigCms存在一处前台任意文件上传漏洞,攻击者可以通过该漏洞进行任意文件上传,从而获取网站权限。

Fofa语法与漏洞编号

FOFA:

“PigCMS”

影响资产数量:8,091

image-20240328143353083

漏洞编号:无

影响版本

全版本

漏洞复现

POST /cms/manage/admin.php?m=manage&c=background&a=acti
了解本专栏 订阅专栏 解锁全文 超级会员免费看
靶场上新:PigCMS任意文件上传漏洞
hackzkaq的博客
10-10 510
PigCms(又称小猪CMS)是一个基于php+mysql的多用户微信营销系统,是国内使用较多、功能强大、性能稳定的多用户微信营销系统。PigCms存在一处前台任意文件上传漏洞,攻击者可以通过该漏洞进行任意文件上传,从而获取网站权限。hack渗透视频教程,扫码免费领。本文由掌控安全学院-江月投稿。
2023HW护网100+个漏洞poc
Yb528970805的博客
09-19 3866
20 . Metabase validate 远程命令执行漏洞CVE-2023-38646。13 . HiKVISION 综合安防管理平台 files 任意文件上传漏洞 POC。3 . Adobe ColdFusion 反序列化漏洞CVE-2023-29300。25 . Panabit iXCache网关RCE漏洞CVE-2023-38646。65 . 泛微E-Office9文件上传漏洞 CVE-2023-2523 POC。66 . 泛微E-Office9文件上传漏洞 CVE-2023-2648 POC。
任意文件上传漏洞详解与防护
鑫和皓的博客
08-10 2421
任意文件上传漏洞是一种常见的网络安全问题,它允许攻击者上传并执行恶意文件,从而获取或破坏系统数据。上传恶意脚本:攻击者可以上传包含恶意代码的脚本文件,如PHP、ASP、JSP等,然后通过浏览器访问这些文件,执行恶意代码。上传恶意二进制文件:攻击者可以上传包含恶意代码的二进制文件,如DLL、EXE等,然后利用其他漏洞或手段执行这些文件。严格检查上传文件:对上传文件的类型、大小、名字和内容进行严格的检查,只接受符合要求的文件。使用安全编程技术:在编写文件上传功能时,使用安全编程技术,如预备语句、输入验证等。
任意文件上传漏洞(简介)
diaobusi的博客
08-22 972
文件上传是指将文件从本地计算机或其他设备上传到网络服务器或其他存储位置的过程。通过文件上传,您可以将文件(如图像、文档、音频或视频等)传输到网络上的不同位置,以实现文件共享、备份、存储或与他人共享内容等目的。用户选择要上传的文件:用户在自己的设备上选择要上传的文件,可能通过文件资源管理器、拖放文件或选择文件对话框等方式进行。文件被传输至服务器:一旦用户选择文件,通过网络将文件发送到特定的服务器。可以使用各种协议,如HTTP、FTP、SFTP等来实现文件传输。
PIGCMS最新最全公众号运营平台完整版 无需破解 亲测可用
12-13
PIGCMS最新最全公众号运营平台完整版 无需破解 亲测可用
C#_FlashUpload_demo
05-07
【C# FlashUpload_demo】是一个基于C#编程语言和.NET框架的示例项目,它实现了使用Flash技术进行文件上传的功能。这个项目的核心是利用Flash作为前端界面,与后端的C#服务器端代码进行交互,以支持用户选择并上传多...
PIGCMS微信开发中上传图片失败的BUG修复
若水印象博客
02-18 1951
编辑器中有一个单图上传功能是用于认证号群发时候用的,因为群发必须得是用微信自身的图片。所以编辑器里就增加了一个功能用于编辑器的图在上传的时候上传到微信端并根据返回的数据在图片的img标签中增加一个 srctitle 属性存储微信端口的数据。然后群发的时候用批量替换把内容中的src替换成srctitle然后去掉srctitle后推送给微信端。 但是我测试的时候报错了经过检查是由于 PHP5.6和P
某猪cms微信自定义菜单操作失败,35:错误号:35,未知错误补丁
01-26
小猪cms微信自定义菜单操作失败,35:错误号:35,未知错误补丁
pigcms二次开发文档
05-14
pigcms二次开发文档,东西齐全
PIGCMS微信公众平台营销系统小猪cms源码V8.3.rar
11-13
微信营销,
pigcms小猪10月27号完整包 安装就可以直接安装
11-19
微信 小猪 pigcms 微信第三方程序内置120多套功能模块(完美可用),内含14套前台风格,可以自由切换,近400套微官网模板。 安装方法:1.导入数据库 修改conf文件夹里的db.php文件数据库信息。后台账号密码admin和admin 后台地址是域名/pi.php 安装环境必须要php5.4+mysql和zend 如果没有这样的环境就别下载安装了 小白推荐用 phpstudy
任意文件上传漏洞原理及上传利用案例(任意文件上传漏洞怎么解决)
最新发布
白帽黑客八哥的博客
12-18 2623
任意文件上传漏洞是一种Web应用程序中常见的安全漏洞,攻击者通过该漏洞可以上传恶意文件到服务器上。这可能导致多种安全问题,包括远程代码执行、服务器拒绝服务等。通常,攻击者通过构造特定的文件上传请求,绕过应用程序的文件类型验证和访问控制,成功上传具有恶意代码的文件。
PHPCMS最新版任意文件上传漏洞分析
zimuxin的专栏
09-22 4403
工具:火狐插件hackbar 前几天就听朋友说PHPCMS最新版出了几个洞,有注入还有任意文件上传,注入我倒不是很惊讶,因为phpcms只要拿到了authkey注入就一大堆…… 任意文件上传倒是很惊讶,但是小伙伴并没有给我exp,今天看到了EXP,但是没有详细分析,那我就自己分析一下好啦。 首先去官网下一下最新版的程序,搭建起来。 为了方便各位小伙伴复现,这里附上最新版的下
phpcms漏洞总结
草巾冒小子的博客
06-25 6982
本文旨在phpcms常见漏洞的发现与修复 重点内容 : 这里收录了phpcms一些常见的漏洞和补丁方案。 希望能对学习该框架的程序员,有所助益。
phpcms 漏洞姿势
热门推荐
2ed
06-26 2万+
一 .PHPCMS V9本地文件包含漏洞 漏洞出现在如下文件:phpcms/modules/search/index.php 代码如下: 本处大家会发现在使用file_get_contents函数时没有过滤get方式得到的m参数 因此可以构造payload如下 www.xxx.com/m=search&a=public_get_suggest_keyword&q=../../ph...
某小众CMS漏洞挖掘与实战
江左盟的博客
09-11 1万+
概述 在前段时间实战攻防演练中发现很多医院都使用同一个管理系统,网站后台都是同一路径:/adm/index.php,但是我从未见过,且页面没有任何Banner信息,如图: 通过许久的搜索终于找到了一些极其相似的源码,但都没有源码来源,其中有一套来自网软志成医院科室诊所门诊部网站系统源码,现在也下架了。还好我有备份:点击下载 环境搭建 运行环境使用Windows Server 2008 R2 64位和phpstudy进行搭建。部分源码已使用Zend加密,因此使用Zend解密工具进行解密,如图: 在安装过程
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值