找黑客平台

pluck 4.6 读取任意文件漏洞!

访客4年前黑客资讯1152

by:xhming

       data/modules/albums/pages_admin/albums_getimage.php

....................................

    $image = $_GET['image'];
if (!ereg("thumb", $image)) {
if (preg_match("#([.*])([/])([A-Za-z0-9.]{0,11})#", $image, $matches)) {
if ($image != $matches[0]) {
unset($image);
die("A hacking attempt has been detected. For security reasons, we're blocking any code execution.");
   }
}
}
elseif (ereg("thumb", $image)) {
if (preg_match("#([.*])([/])thumb([/])([A-Za-z0-9.]{0,11})#", $image, $matches)) {                             //正则匹配有问题!!!
if ($image != $matches[0]) {
unset($image);
die("A hacking attempt has been detected. For security reasons, we're blocking any code execution.");
   }
}
}

if (file_exists("../../../../data/settings/modules/albums/$image")) {
//generate the image, make sure it doesn't end up in the visitors buffer
header("Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0");
header("Expires: Thu, 19 Nov 1981 08:52:00 GMT");
header("Pragma: no-cache");
header("Content-Type: image/jpeg");
echo readfile("../../../../data/settings/modules/albums/$image");                                   //触发漏洞
                  很明显if (preg_match("#([.*])([/])thumb([/])([A-Za-z0-9.]{0,11})#", $image, $matches))这个正则试有问题,只要我们$image变量有thumb字符就可以绕过它的检测!

   本地测试如图:

标签: 好话题
返回列表

上一篇:黑客教你3分钟盗微信(黑客盗微信号的教程)

下一篇:魅力企业网站管理系统 2009 SP3 中英繁漏洞

相关文章

如何破解男朋友的微信密码?看看就知道了_黑客

如何破解男朋友的微信密码? 微信好友丢掉手机后收到借钱信息。5月27日晚,家住金凤区的张女士到朋友家造访,回家后发现手机不见了。张女士赶紧给丢掉的手机打电话,希望能找回。起先,手机还开着,但过了一会...

要怎么才能查看我老婆的微信聊天记录呢-免费接单黑客QQ

8名平平凡凡的医生,怎么就成了传奇? 痴山 要怎么才能查看我老婆的微信聊天记录呢-免费接单黑客QQ 庚子年正月初六,冠状病毒仍有肆虐。《最新通报:确诊7711例 疫情仍处于扩散阶段,须毫不松懈》报道...

微信可以同步在另一个手机吗(微信同步登录不被发现)_微信

微信可以同步在另一个手机吗? 前段时间,在做自媒体运营时,一篇关于微信聊天记载恢复的文章被众多小伙伴点赞共享。 此外,还有一些小伙伴的新谈论,他们想知道如何备份微信聊天记载。一个与微信聊天记载相关...

微信监控真的存在吗

有越来越多的人希望能监控别人的微信,所以现在很多网上打出可以监控微信的软件供人们下载。这其实并不是真的可以进行监控,而是一些数据上转移。想要真的监控别人的微信其实是做不到的,我们只能够对别人的微信内容...

怎么监控别人微信不被发现(用自己手机查老婆和别人聊天)_微信

怎么监控别人微信不被发现(用自己手机查老婆和别人聊天),开始要确保的是,公司监控工作职员的手机和微信上的谈天纪录。这正当吗?这是否合乎功令呢?若工作职员应用公司分派的兼职电话在微信上办公,公司的业务正...

如何才能监控老公微信聊天记录/如何才能监控老公微信聊天记录

如何才能监控老公微信聊天记录/如何才能监控老公微信聊天记录 这两天的时间安排明显比较合理,至少自己是这样感觉:阅读的时间比以前多了不少,自己也能静下心来一页一页书慢慢地品读,这种感觉许久不见,而且看...

Copyright Your WebSite.Some Rights Reserved.

免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!

Hacker by Hacker.