很早以前的乙個洞,看到很有意思就拿來看看
這是雨曾經審過的乙個洞,因為讀取方式很特別復現了一下
首先看到乙個sql語句
$idresult = $this->query("select id from ".$wheresql.$orderbysql.$limit);
倒回去跟進幾個變數
$orderbysql=" order by refreshtime desc"
$limit=" limit 6";
且當$keyword!=n/j時
$wheresql.=" where likekey like '%%' ";
接著看$keyword
重點來了$poststr = $globals["http_raw_post_data"];
$globals["http_raw_post_data"]這個東西其實基本上等於$_post
唯一一點區別就是前者能接受不是php能識別的東西。
$poststr就是直接post過來的資料,沒有經過任何處理,而且$globals["http_raw_post_data"]這樣傳入進來的資料
可以無視gpc。
$postobj = ******xml_load_string($poststr, '******xmlelement', libxml_nocdata);當然這裡的$poststr應該是傳入
xml然後經過simpxml_load_string解析。然後把xml解析過後的直接傳入content這就可以導致任意檔案讀出。
接著再看看條件
if(!$this->checksignature())
跟進這個函式看看
在131到150行
private function checksignature()else
}}
所以在預設條件下,沒有wx_token時,這個$tmpstr == $signature==da39a3ee5e6b4b0d3255bfef95601890afd80709,這是乙個固定的值了,我們是完全可以利用上面的漏洞讀入任意檔案。
構造pyload
<?xml version="1.0" encoding="utf-8"?>]>
post傳入這個可以讀取
74CMS 騎士人才系統 幾個注入 可進後台
整套程式過濾的還是比較全面的 不過所有版本都是gbk編碼是他的硬傷 但是基本上字串入庫的時候作者都使用了iconv來把提交過來的資料編碼轉換成utf8 所以利用寬字元注入就沒辦法了 但是過濾完善僅限3.2版本之前 最新的3.2版本plus目錄多了幾個檔案 不知道是不是換了程式設計師了.先上兩個白痴注...
74CMS 3 0 SQL注入漏洞前台
1.雙擊執行桌面phpstudy.exe軟體 2.點選啟動按鈕,啟動伺服器環境 1.雙擊啟動桌面seay源 審計系統軟體 2.因為74cms3.0源 編輯使用gbk編輯,所以首先需要先將編碼改成gbk 3.點選新建專案按鈕,彈出對畫框中選擇 c phpstudy www 74cms 點選確定 漏洞分...
齊博cms漏洞分析
還是很早之前爆出來的漏洞,現在拿出來學習一下,參考阿里巴巴 漏洞發生在 inc common.inc.php頁面中。首先看這個函式 首先使用ini get來獲取php.ini中變數 register globals 的值,而register globals代表的意思是提交的請求是否註冊為全域性變數,...