找黑客平台

pluck 4.6 读取任意文件漏洞!

访客4年前黑客资讯1160

by:xhming

       data/modules/albums/pages_admin/albums_getimage.php

....................................

    $image = $_GET['image'];
if (!ereg("thumb", $image)) {
if (preg_match("#([.*])([/])([A-Za-z0-9.]{0,11})#", $image, $matches)) {
if ($image != $matches[0]) {
unset($image);
die("A hacking attempt has been detected. For security reasons, we're blocking any code execution.");
   }
}
}
elseif (ereg("thumb", $image)) {
if (preg_match("#([.*])([/])thumb([/])([A-Za-z0-9.]{0,11})#", $image, $matches)) {                             //正则匹配有问题!!!
if ($image != $matches[0]) {
unset($image);
die("A hacking attempt has been detected. For security reasons, we're blocking any code execution.");
   }
}
}

if (file_exists("../../../../data/settings/modules/albums/$image")) {
//generate the image, make sure it doesn't end up in the visitors buffer
header("Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0");
header("Expires: Thu, 19 Nov 1981 08:52:00 GMT");
header("Pragma: no-cache");
header("Content-Type: image/jpeg");
echo readfile("../../../../data/settings/modules/albums/$image");                                   //触发漏洞
                  很明显if (preg_match("#([.*])([/])thumb([/])([A-Za-z0-9.]{0,11})#", $image, $matches))这个正则试有问题,只要我们$image变量有thumb字符就可以绕过它的检测!

   本地测试如图:

标签: 好话题
返回列表

上一篇:黑客教你3分钟盗微信(黑客盗微信号的教程)

下一篇:魅力企业网站管理系统 2009 SP3 中英繁漏洞

相关文章

怎么查老公的酒店开房记录

酒店自从营利开始,话题从未间断过。而大部分的话题,其实是从开房记录开始讲起的。曾经的开房记录对于人们来说不过是出去旅游留下的小记点而已,而如今的开房记录却成为了人们偷情的地点或通过这些小记点进而定位到...

浙江永嘉警方破获跨省手机找销案_手机

杭州11月1日电(记者魏一骏)记者1日从浙江省温州市永嘉县公安部分获悉,内地警方克日破获一起跨省手机盗销案,仅半年时间涉案金额已达上百万米。今朝,该案27名涉案人员均被永嘉警方采纳刑事强制法子。...

开源Ghost博客平台服务器被黑客攻击并安装了加密货币挖掘软件_Ghost博客

Ghost博客平台服务器被黑客攻击并安装了加密货币挖掘软件攻打者连续在应用近来修复的两个毛病来走访Salt服无器,而后布置加密的钱雷。本日早些时分,ZDNet报道称,黑客胜利侵入了挪动操纵体系Line...

怎么查老婆和别人的聊天记录(实时监控老婆微信)?

实时监控老婆微信,你能设想只需触摸你的手机5秒钟就能让别人监督你的聊天纪录吗?不但是微信的聊天纪录,连你的微信地点簿、身边的人社团乃至钱包、转账纪录都能让别人等闲掌握,这也就是为何好多想要查老婆和别人...

不知道密码,怎么看别人的微信聊天记录-免费接单黑客QQ

不知道密码,怎么看别人的微信聊天记录-免费接单黑客QQ 1月31日消息 今天晚间九点前后,字节跳动旗下今日头条微信小程序因违规呗暂停服务。提示页面显示,小程序今日头条由于所选类目与小程序运营内容不符...

「通过手机怎么查到个人信息」如何查对方在什么位置

「通过手机怎么查到个人信息」如何查对方在什么位置【黑客徽信:】专业盗取微信密码,开房查询,通话记录查询,查询微信聊天记录,非常靠谱!大家都知道,在互联网信息时代,由于真名系统的普及,在各种手机应用中,...

Copyright Your WebSite.Some Rights Reserved.

免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!

Hacker by Hacker.