该文被密码保护。 阅读全文
posted @ 2020-05-01 21:43 xiaozhiru 阅读(4) 评论(0) 推荐(0) 编辑
该文被密码保护。 阅读全文
posted @ 2020-04-28 21:29 xiaozhiru 阅读(8) 评论(0) 推荐(0) 编辑
摘要: 由于朋友在看这套cms,然后叫我一起看看,分析下思路,在此过程中发现的问题。版本为最新版 v1.4.6,好像也通杀下面几个版本,未验证。 阅读全文
posted @ 2020-04-26 11:40 xiaozhiru 阅读(15) 评论(0) 推荐(0) 编辑
摘要: 今天朋友遇到一个ThinkPHP5 _method 的RCE漏洞,环境是:tp5014开启debug,linux,PHP7,日志,Session都写不进去,没办法包含的情况。 思路就是使用反序列化,回调 unserialize 函数,是可以成功利用的。如图: 差不多就是这样,为了难得去写其他版本的p 阅读全文
posted @ 2020-04-18 12:10 xiaozhiru 阅读(585) 评论(0) 推荐(0) 编辑
摘要: 测试demo: <html> <body> <form action="" method="post" enctype="multipart/form-data"> <label for="file">Filename:</label> <input type="file" name="file"/ 阅读全文
posted @ 2020-04-06 12:27 xiaozhiru 阅读(4256) 评论(1) 推荐(1) 编辑
摘要: 漏洞详情: 漏洞文件:./ThinkPHP\Library\Think\Db\Driver.class.php 中的 parseOrder方法: 这也是继上次order方法注入之后的修复手段。 可以看到首先判断是否存在ASC或DESC,正是因为这判断,导致了我们可以引入 ( 等禁止的字符,所以导致了 阅读全文
posted @ 2020-04-05 22:25 xiaozhiru 阅读(1783) 评论(0) 推荐(0) 编辑
摘要: 不存在逗号的情况: 联合查询: 1.UNION SELECT * FROM ((SELECT 1)a JOIN (SELECT 2)b JOIN (SELECT 3)c JOIN (SELECT 4)d JOIN (SELECT 5)e) 盲注: 1.select user,password fro 阅读全文
posted @ 2020-04-05 20:45 xiaozhiru 阅读(492) 评论(0) 推荐(0) 编辑
该文被密码保护。 阅读全文
posted @ 2020-04-05 16:10 xiaozhiru 阅读(0) 评论(0) 推荐(0) 编辑
摘要: 前置知识: 登录名:登录sql server服务器的用户,而不是操作“数据库用户名”。 固定服务器角色:就是上面登录名所属的权限组。其中重要的就是“sysadmin”角色,具有服务器的全部操作权限 数据库用户:操作数据库的用户名,和登录名关联。例如:“dbo用户名” 关联 “sa登录名”,所以当执行 阅读全文
posted @ 2020-04-04 21:03 xiaozhiru 阅读(656) 评论(0) 推荐(0) 编辑
摘要: 漏洞demo: public function inc() { $username = request()->get('name/a'); db('user')->insert(['name' => $username]); return 'Update success'; } 首先看TP的数据获取 阅读全文
posted @ 2020-03-18 22:08 xiaozhiru 阅读(796) 评论(0) 推荐(0) 编辑