码迷,mamicode.com
首页 > Web开发 > 详细

【php代码审计】熊海cms1.0

时间:2019-10-14 10:31:00      阅读:141      评论:0      收藏:0      [点我收藏+]

标签:直接   内容   16px   没有   files   目录   phpstudy   font   包含   

0x01 环境安装

1. 熊海cms1.0 (http://js.down.chinaz.com/201503/xhcms_v1.0.rar)

2.seay代码审计工具

3. phpstudy (php版本不能太高)

0x02 审计之旅

直接拉到工具中,可以看到可能存在大概34个漏洞,我们一一来看吧。

技术图片

 

 

 

0x03 文件包含

文件是index.php,一眼就看出来了这**不是文件包含嘛,什么都没过滤

 技术图片

 

 include函数,关闭了错误提示。这里参数r没有任何过滤直接放到include()函数中了,但是这里include是在files目录下的,我们验证一下,在files目录下建立一个shell.php ,内容为<?php phpinfo();?>

技术图片

 

 接着,那就开始访问呗,成功触发。嘻嘻嘻!!

技术图片

 

【php代码审计】熊海cms1.0

标签:直接   内容   16px   没有   files   目录   phpstudy   font   包含   

原文地址:https://www.cnblogs.com/kuaile1314/p/11669941.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!