bluecms代码审计

最新推荐文章于 2024-01-31 21:29:38 发布
最新推荐文章于 2024-01-31 21:29:38 发布
阅读量1.3k 收藏 5
点赞数 1
分类专栏: 代码审计 php学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44255856/article/details/94877405
版权

说明:最近打算入手cms,所以找了一个简单的bluecms先练练手。

首先使用seay源码审计工具审计全部的源码
在这里插入图片描述
1,发现/uploads/ad_js.php下可能存在sql注入漏洞

打开ad_js.php文件
在这里插入图片描述
首先判断是否存在ad_id变量如果存在就执行下面的操作
在这里插入图片描述
跟踪getone函数,在mysql.class.php文件中,用于封装为sql语句。
后跟踪table,在common.fun.php文件中发现

function table($table)
{
   global $pre;
   return  $pre .$table ;
}

继续跟进$pre,在config文件中发现

$pre    = "blue_";

说明表名为’blue_ad’
后执行一些对我们无关紧要的东西,略过。
最后后跟三个replace语句。
继续在网页上测试

最低0.47元/天 解锁文章
「已注销」
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cms代码审计
HBohan的博客
11-17 763
[齐博CMS系统存在命令执行漏洞] 【技术资料】 漏洞利用过程: 1 首先爆出网站跟路径: 访问: /index.php/cms/1 会在debug里看到网站根路径! 如果开了debug的话! 然后根据网站根路径修改poc! 看poc里的注释! 2 利用poc生成 phar文件 poc <?php namespace think\process\pipes { class Windows { private $files = []; public fu
bluecms源码 初级代码审计
07-31
【标题】:“BlueCMS源码 初级代码审计”指的是对BlueCMS 1.6版本的源代码进行安全审查和分析的过程,这是针对初学者的一个学习项目,旨在帮助他们了解和掌握代码审计的基础知识。 【描述】:“BlueCMS 1.6源码 ...
adobe 书签怎么设置_让我们设置一些规则…没有Adobe Analytics处理规则
weixin_26746401的博客
09-06 303
adobe 书签怎么设置Originally published at Analyst Admin. 最初发布于Analyst Admin 。 In my experience working with Adobe Analytics, I’ve found that Processing Rules help in some cases, but oftentimes they create ...
代码审计Bluecms—sql—user.php(无)
王嘟嘟的博客
10-27 334
0x00 前言 如饥似渴的学习ing。 你可能需要看看: https://blog.csdn.net/qq_36869808/article/details/83029980 0x01 start user一共有六个。 我们来一个一个看 第一个 变量溯源$id. intval不存在slq注入。 第二个 这里的变量是$_SESSION[‘user_id’],无法利用。 第三个 第三个同上 ...
BlueCms开源环境渗透学习(附代码审计学习)
weixin_53884648的博客
09-25 2524
学习审计开源的CMS来练习代码审计
bluecmsv1.6代码审计
qq_42307546的博客
06-28 708
php
Bluecms代码审计
末初的CSDN博客
03-17 2447
一次简单的代码审计实战来自风哥的一篇文章 这第一篇文章只是一个前言,第二篇文章是我看完风哥的审计过程,然后我自己审计的文章。 环境搭建 phpstudy BlueCMSv1.6sp源码 代码审计工具 总结功能点 BlueCMS本次代码审计实战靶场 拿到这样一个CMS我们首先应该对这个站的正常功能进行测试,看一看存在哪些功能,这里的测试方法是黑盒加白盒,以风哥的观点,挖掘漏洞的核心在于传参,知道了...
bluecms-zzcms.rar
06-09
"bluecms-zzcms.rar"这个压缩包包含两个流行的开源内容管理系统(CMS)——BlueCMS v1.6 sp1和ZZCMS 8.2的源代码,这两个系统被广泛用于搭建网站,同时也被用作初学者进行代码审计的实例。 **BlueCMS v1.6 sp1** ...
bluecms企业网站源代码
03-16
bluecms企业网站是一个以asp+access进行开发的企业建站cmsbluecms介绍: 1、BlueCMS核心程序不超过200K,全部由自定义系统写成,本程序最大的特点就是不用担心升级的问题,所有版本自动升级,所有高级版本标签都兼容...
Bluecms内容管理系统 v1.6sp1
08-29
v1.6演示地址:http://www.bluecms.net/demo 官方网站:http://www.bluecms.net/ 官方论坛:htpp://www.bluecms.net/bbs
BlueCMS漏洞大集合
02-03
client_ip伪造注入看代码吧,这里的getip函数是获取Ip的,由于,client_ip和x_forwarded_for都可以伪造。在include/common.fun.php的106行我们继续跟踪一下getip()这个函数的应用。comment.php中的113行这里我们伪造...
“快看”cms v1.32代码审计
include_voidmain的博客
07-04 1219
CMS代码审计
bluecms_v_1.6sp1代码审计
RestoreJustice的博客
03-23 783
这是一个比较古老的cms,可以说是满目疮痍,更靶场一样。上述漏洞主要是前台的。后台同样存在类似或者没有写到的漏洞。由于自己技术有限,就到这。
BlueCMS代码审计
eyyer的博客
02-20 1140
BlueCMS的一次代码审计
bluecms 手把手教你0day挖掘-基础入门篇
G208_522的博客
03-15 5442
Bluecms后台sql注入漏洞 一、环境搭建 1、PhP地方门户系统 BlueCMS v1.6 sp1 下载地址:https://down.chinaz.com/soft/26181.htm 2、PHPstudy apache,mysql集成环境 二、代码审计 在该cms系统中,其后台存在sql注入漏洞 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wmb7A4Ms-1647335609467)(https://gitee.com/gaohongyu1/csdn/raw/m
bluecms 代码审计
2202_75317918的博客
01-31 1018
第一次进行代码审计 ,参考的文章比较多我觉得工具只能起到辅助作用 主要自己要花时间研究发现一些问题时回溯变量,或者直接挖掘功能点的漏洞这里碰到的洞也不是那么高大上,基本都是一些比较基本的洞。
JAVA代码审计-cms综合篇
shelter1234567的博客
11-02 470
本次用一个cms的源码,来综合深入学习java代码审计...
从0开始代码审计 day1 —— BlueCMS v1.6 sp1
Czheisenberg的博客
12-26 797
从0开始代码审计 day1 —— BlueCMS v1.6 sp1
bluecms 1.6 审计与渗透测试
feng的博客
05-07 1764
前言 听My0n9s师傅说bluecms比较适合审计入门,正好也到了2周审计一个CMS的时候了,就从网上下载了这个CMS的源码,开始审计与渗透测试。 源码下载: bluecmd 安装 安装的时候主要先看看哪些目录是可写的,到时候如果可以传马或者SQL注入可以写马啥的,至少对于可用的目录知道一些。而且也大致看一下,cache是缓存,upload估计就是上传的路径了,backup是备份,说不定可能存在源码泄露啥的,complie就不清楚了,好像就是smarty?。 之后就是正常的安装,而且安装那里的用户名和密
bluecms网站搭建
最新发布
04-09
BlueCMS是一种网站搭建系统,它提供了一个简单而强大的平台,用于创建和管理个人或企业网站。以下是关于BlueCMS网站搭建的一些介绍: 1. 界面友好:BlueCMS拥有直观的用户界面,使得网站搭建变得简单易用。无需编程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值