CMS系统漏洞分析溯源

Yolo山药

已于 2022-10-01 22:43:21 修改

阅读量313

点赞数

分类专栏： cms题文章标签：安全 web安全

于 2022-10-01 12:44:55 首次发布

本文链接：https://blog.csdn.net/weixin_47493074/article/details/127133248

版权

cms题专栏收录该内容

4 篇文章 0 订阅

订阅专栏

靶机墨者学院

在这里插入图片描述

漏洞复现

发下很正常的网站
在这里插入图片描述
扫下路径发现/manager/login.php管理页面

发现有验证码，不能用brup解弱口令了，得用PKAV（下载地址在文末）
在这里插入图片描述
测试过账号是admin，其他地方按下图设置，字典引入

找到验证码的接口，一般右键验证码，复制链接

重放选项，设置如下
在这里插入图片描述

启动发现，长度不一样的密码，大概就是它了
在这里插入图片描述

成功登入
在这里插入图片描述
找到key

pkav下载链接

链接: https://pan.baidu.com/s/1kHVy-I6PLo-LrCPNyPaLfQ 提取码: t4xe 复制这段内容后打开百度网盘手机App，操作更方便哦

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Yolo山药

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
CMS系统漏洞分析溯源

CMS系统漏洞分析溯源(第8题)
复制链接

扫一扫

专栏目录

CMS系统漏洞分析溯源(第2题)

weixin_50698958的博客

10-06

372

靶场： https://www.mozhe.cn/bug/detail/ajFqNFRadkk2alNtOVRUVm9MSXA2Zz09bW96aGUmozhe 背景介绍某单位需新上线了一个系统，安全工程师“墨者”负责对系统的安全检测，确保该系统在上线后不存在安全漏洞。实训目标 1、了解并熟练使用linux命令； 2、了解PHPCMS的后台地址及其他相关漏洞资料； 3、了解html源码的重要性。解题方向登录后台后执行linux系统命令，查看web源码。解题思路： 1、打开靶场，首

CMS系统漏洞分析溯源(第6题)

weixin_50698958的博客

10-07

338

靶场： https://www.mozhe.cn/bug/detail/Yy9vUVVqcWNmWEpKdFh4dTFheHVZdz09bW96aGUmozhe 背景介绍安全工程师"墨者"的朋友搭建一个emlog个人博客系统，为了确保该系统的安全性，请你检测该系统是否存在安全漏洞。实训目标 1、了解验证码绕过的相关知识； 2、了解后台地址扫描及其他相关漏洞资料； 3、了解后台常用账户密码的利用方式；解题方向进入后台，找到后台中可利用的地方getshell；解题思路： 1、使用

参与评论您还未登录，请先登录后发表或查看评论

墨者学院 - CMS系统漏洞分析溯源(第3题)

多崎巡礼的博客

10-29

1381

新云网站内容管理系统是一套开源的WEB网站管理系统，采用目前非常成熟的ASP+Access/SQL开发而成。使用它，我们可以很方便的管理自己的网站，目前新云网站内容管理系统最新的版本是v4.0.0 SP2。本文要介绍的捕洞就出在新云网站内容管理系统v4.0.0 SP1以及未打官方最新补丁的v4.0.O SP2的问吧系统中。新云的问吧是类似百度知道的互动知识问答分享平台，问吧采用自己的数据库，数...

【墨者学院】CMS系统漏洞分析溯源(第6题)

weixin_43884770的博客

12-19

732

墨者学院-CMS系统漏洞分析溯源(第9题)

ploto_cs的博客

10-15

676

一.解题思路查询版本，直接使用工具破解二.操作步骤 1.浏览网址可以看到版本号为Discuz 7.2 2.利用工具查看是否存在漏洞使用工具dz7.x_faq.py 源码为： #!/usr/bin/env python # -*- coding: gbk -*- # -*- coding: utf-8 -*- # author iswin import sys import hashlib import time import math import base64 import

74cms代码执行漏洞

01-03

74cms代码执行漏洞 docker

某团cms系统官网源码.zip

08-14

【某团CMS系统官网源码】是一个基于Java技术构建的内容管理系统，主要用于网站的建设和管理。这个源码包包含了实现该系统的基本元素，如HTML页面、图片资源等，为开发者提供了研究和二次开发的基础。首先，我们要...

php cms 2008漏洞分析

11-25

【phpcms 2008漏洞分析】 Phpcms 2008 是一款流行的开源内容管理系统，然而，它在2008版本中存在一个严重的安全问题，即代码注入漏洞。这个漏洞允许攻击者通过特定参数执行任意的PHP代码，从而对系统造成重大威胁。...

国微CMS 网站系统

08-17

4. **安全性**：作为主流CMS系统，国微CMS重视安全防护，定期发布更新修复已知漏洞，保障网站的数据安全。同时，系统支持多级权限管理，确保敏感信息得到有效控制。 5. **扩展性**：丰富的插件和模板库是国微CMS的...

狂雨小说CMS-多功能小说系统

最新发布

05-07

系统要求 PHP要求5.6版本以上，低于5.6版本无法运行支持php7 addons,application,config,extend,public,runtime,template,uploads 目录必须要有写入权限 777 网站必须配置好伪静态(.htaccess为Apache伪静态...

openCms_7.0.5_001

10-10

opencms, content management system, 7.0.5, 由于上传大小限制,分成了两部分,这是第一部分

墨者学院-CMS系统漏洞分析溯源(第3题)

ploto_cs的博客

10-09

542

一．漏洞描述在用户注册或者修改个人资料中，我们可以注入一句话到数据库中，拿到shell 二．影响版本新云CMS 4.0.0 SP1 三．漏洞复现 1.使用御剑对域名进行探测登录网址为http://219.153.49.228/login.asp 2.注册用户在“密码问题”插入一句话木马一句话木马为： <% execute request(“a”)%>” 经过Erlang 中文简体字 GB2312 转 unicode 转换来的 ┼攠數畣整爠煥敵瑳∨≡┩愾 3.检查木马是否上传成功

墨者 - CMS系统漏洞分析溯源(第2题)

吃肉唐僧的博客

07-19

578

上网搜索发现，phpcms框架登录后台的默认入口是/index.php?m=admin 发现后台地址登录系统，摸索一番发现木马查杀可以查询系统文件特征密码输入mozhe，遍历所有文件发现，并且点击打开访问 ...

墨者学院-CMS系统漏洞分析溯源(第2题)

臭nana的博客

12-18

706

robots.txt爬下目录，发现admin.php 进入发现账号密码已经填好，登录进去，界面->模板风格->详细列表->search->index.html(修改)写入一句话后保存然后从主页访问搜索页面菜刀连接，拿到key ...

墨者学院---CMS系统漏洞分析溯源(第5题)

qq_35105713的博客

10-25

1191

cookie添加 admin_name字段，Value任意。保存访问http://219.153.49.228:48489/admin/cms_admin.php，即可获得key

CMS系统漏洞分析溯源(第5题)——解题视频全过程

渗透测试

09-07

694

CMS系统漏洞分析溯源(第5题) 解题思路：登陆页面>>>扫描后台地址>>>登陆地址>>>查看是否可以绕过>>>不可以的话>>>百度管理系统源码>>>分析源码>>>查看登陆页面>>>找到相关php文件>>>admin_name>>>浏览器添加cookie>>>直接访问带有漏洞php文件的页面>>&

Python Discuz 7.2 faq.php 注入漏洞全自动利用工具

weixin_33912638的博客

04-03

218

#!/usr/bin/envpython #-*-coding:gbk-*- #-*-coding:gb2312-*- #-*-coding:utf_8-*- #authoriswin importsys importhashlib importtime importmath importbase64 importurllib2...

Isea CMS V1.0存在文件包含漏洞

weixin_46801402的博客

11-01

352

Isea CMS V1.0存在文件包含漏洞

墨者学院-编辑器漏洞分析溯源(第2题)

a519395243的博客

01-12

753

首先 win10 下可以打开的，用IE 8打开的，其他人说打不开的，可以IE 按F12换版本找到后台 IP/admin_login.asp 帐号admin 密码 8583213p 点击样式管理下的新增样式图片类型 cer (IIS6.0平台解析为asp执行)，名称随便填，用绝对路径保存后返回，点击工具后，新增，按钮设置加插入或修改图片，保存返回，点击预览，上面操作全在win10 谷歌浏...