该文被密码保护。 阅读全文
该文被密码保护。 阅读全文
摘要:
由于朋友在看这套cms,然后叫我一起看看,分析下思路,在此过程中发现的问题。版本为最新版 v1.4.6,好像也通杀下面几个版本,未验证。 阅读全文
摘要:
今天朋友遇到一个ThinkPHP5 _method 的RCE漏洞,环境是:tp5014开启debug,linux,PHP7,日志,Session都写不进去,没办法包含的情况。 思路就是使用反序列化,回调 unserialize 函数,是可以成功利用的。如图: 差不多就是这样,为了难得去写其他版本的p 阅读全文
摘要:
测试demo: <html> <body> <form action="" method="post" enctype="multipart/form-data"> <label for="file">Filename:</label> <input type="file" name="file"/ 阅读全文
摘要:
漏洞详情: 漏洞文件:./ThinkPHP\Library\Think\Db\Driver.class.php 中的 parseOrder方法: 这也是继上次order方法注入之后的修复手段。 可以看到首先判断是否存在ASC或DESC,正是因为这判断,导致了我们可以引入 ( 等禁止的字符,所以导致了 阅读全文
摘要:
不存在逗号的情况: 联合查询: 1.UNION SELECT * FROM ((SELECT 1)a JOIN (SELECT 2)b JOIN (SELECT 3)c JOIN (SELECT 4)d JOIN (SELECT 5)e) 盲注: 1.select user,password fro 阅读全文
该文被密码保护。 阅读全文
摘要:
前置知识: 登录名:登录sql server服务器的用户,而不是操作“数据库用户名”。 固定服务器角色:就是上面登录名所属的权限组。其中重要的就是“sysadmin”角色,具有服务器的全部操作权限 数据库用户:操作数据库的用户名,和登录名关联。例如:“dbo用户名” 关联 “sa登录名”,所以当执行 阅读全文
摘要:
漏洞demo: public function inc() { $username = request()->get('name/a'); db('user')->insert(['name' => $username]); return 'Update success'; } 首先看TP的数据获取 阅读全文