UWA_2.3.11_后台新建模板getshell

最新推荐文章于 2025-12-01 18:53:18 发布
原创 最新推荐文章于 2025-12-01 18:53:18 发布 · 383 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #开发语言

文章揭示了UWA2.3.11版本的一个严重安全问题,攻击者可利用后台模板添加功能,因未对PHP文件内容做校验,写入恶意代码实现getshell。建议禁止上传PHP类型模板文件以防止此类攻击。

影响范围

UWA 2.3.11

漏洞类型

新建模板getshell

利用条件

登陆管理后台

漏洞概述

UWA 2.X是如斯(AsThis)基于 PHP 和 MySQL 开发的通用建站系统,程序简洁、灵活而具备强大的扩展性,是轻松建站的首选利器。
UWA 2.3.11后台允许自定义php模板文件,且在保存时未对PHP文件中的内容做合法性校验,导致攻击者在登陆后台的情况下可以写入一句话木马进去,之后getshell。

漏洞分析

后台模板添加界面逻辑代码如下所示:

后台模板添加逻辑设计代码如下所示:

从上面的代码中可以看到在整个添加模板的过程中,允许新建php模板,同时未对模板中的内容进行任何的过滤处理,那么我们就可以直接上传一个携带恶意代码的后门文件来实现getshell操作~

漏洞复现

首先,进入模板文件列表

之后选择home文件夹

之后添加模板文件

之后在其中写入一句话木马进去

成功保存文件

之后连接shell

成功getshell

安全建议

不允许上传php类型模板文件

Unity游戏开发之接入UWA_GOT的iOS版SDK以后无法正常出包
ppp0100的博客
06-27 562
最近有看到UWA_GOT工具新增了iOS版本的支持,于是下载了最新的工具包进行了接入测试。是按照文档直接将UWA_GOTv2.0.1_iOS.unitypackage导入进了Unity项目内,并且做了配置
精选资源
UWA_GOTv2.3.6.zip
12-06
UWA】是Unity开发社区中的一个知名机构,专注于提供性能分析、优化建议和技术支持,帮助开发者提升游戏或应用的质量和效率。UWA_GOTv2.3.6.zip这个压缩包包含的是UWA的Game Online Tracking(GOT)工具的版本2.3.6...
UWA 1.X 通用建站系统 v1.6.2
10-24
UWA  [?juwɑ] (Universal Website AsThis) 是基于PHP和MySQL开发通用建站系统,程序简洁、灵活而具备强大的扩展性。UWA功能特点:1、自定义档案模型,便于内容扩展及二次开发2、高效的动静态页面部署,运行效率极高3、网站内容周期性自动更新,维护成本低4、会员中心及可定制的会员模型,让您的网站火起来5、多语言支持,方便开拓国际市场6、专业简洁的界面设计,良好的用户体验7、简单易用的模板引擎,界面设计方便快捷安装方法:    系统要求:PHP5.2+(MySQLi扩展), MySQL 5.0+1. 将 upload 下所有的文件上传至网站根目录。2. 通过浏览器访问,填写配置信息进行安装。3. 安装完成,访问首页。4. 删除 install 目录。5. 管理入口 admin.php,可更改入口文件名以增加网站安全性。v1.6.2 更新日志:[√] 修复函数名称错误[√] 完善频道生成过程[没有档案时也生成默认页][√] 修复本服务器图片不能自动缩略图[√] 分享js修复 ...
UWA 2.X 通用建站系统 v2.3.10
10-22
UWA 2.X是如斯(AsThis)基于 PHP 和 MySQL 开发通用建站系统,程序简洁、灵活而具备强大的扩展性,他将是您轻松建站的首选利器。UWA 功能特点:[PFA 内核] 简洁、优雅的高质量代码具有极高的通用性和扩展性。[档案模型] 自定义档案模型,丰富网站,便于内容扩展及二次开发。[极速高效] 高效的动静态页面部署,数据多重缓存,网站极速访问。[自动更新] 网站页面周期性自动更新,降低维护成本及服务器压力。[会员中心] 会员中心及可定制的会员模型,让您的网站交互火起来。[功能扩展] 扩展/插件/模板/模型一键安装、卸载。[多语言支持] UTF-8 编码,语言侦测,方便快捷地开发国际性网站。[模板引擎] 简单易用的模板引擎,界面设计方便快捷。安装方法:系统要求:PHP5.2+(MySQLi 扩展, 关闭安全模式), MySQL 5.0+1. 将 upload 下所有的文件上传至网站根目录。2. 通过浏览器访问,填写配置信息进行安装。3. 安装完成,访问首页。4. 删除 install 目录。5. 管理入口 admin.php,更改入口文件名以增加网站安全性。UWA 2.X
Unity优化百科(UWA 博客目录)
weixin_34115824的博客
02-02 454
Part 1. 优化工具 Q:UWA提供哪些可以快速提升性能的工具? 这个要从UWA的定义说起,UWA由侑虎科技开发的游戏/VR应用性能优化平台,目前提供 1)性能检测与优化 2)资源检测与分析 3UWA GOT 三大工具。下面我们将分别介绍。 一、性能检测与优化 通过真人真机对项目测试,提供针对性的性能报告和优化方案,既能从宏观上分析项目运行时的整体...
Unity 优化之UGUI(uwa_UGUI优化直播总结)
小泥鳅的专栏
05-23 771
转自:https://www.jianshu.com/p/2b5e8c11c4ea 视频地址:https://v.qq.com/x/page/l0329fvbrfn.html 尽可能的让UI元素合批 首先创建一个新的场景,摄像camera为Solod Color 可以看到场景中的Barches为1,这是因为camera在做Clear操作 然后创建两个Button 去掉对应的T...
UWA Gears使用指南|设置面板介绍及配置
UWA—简单优化,优化简单!
09-08 535
管理ADB和编译器路径配置,快速掌握性能分析基础环境
v8-x64.dll uxrpcs.dll uwa_ui.dll uwawrapper_windows.dll uwa.dll userfors.dll userauth.dll
2508_92340250的博客
09-14 288
以上只是通用的运行库dll处理方式,如果你遇到缺失文件是第三方的软件文件,那么就需要下载到属于这个程序所匹配的版本的文件,然后将这个文件复制到这个程序的安装目录下才能解决问题。如果我们遇到关于文件在系统使用过程中提示缺少找不到的情况,如果文件是属于运行库文件的可以单独下载文件解决,但还是建议安装完整的运行库,可以尝试采用手动下载替换的方法解决问题!文件下载完成后,下方列表会有很多个不同版本的文件,这里所有文件都是免费可下载的,我们根据自己所需要的版本文件,点击右边的“打开”,这样就找到了下载的文件。
uwa和java_java字节流和字符流
weixin_34337678的博客
02-28 1516
JavaIO流,是一种计算机用语。主要是用于处理数据的传输。我们可以把流理解为一种信息传输的媒介。流的分类字节传输方式字符传输方式输入输出输入输出IO流字节流字符流InputStreamOutputStreamReaderWriter这里列举的类都是顶层的类,没有详细展开,对于各个细分的应用领域会用到不同的类,比如文件流就会用到FileInputStream等,线程间的通信就会用到PipedIn...
UWA内存管理篇_常识(三)
岁月静好
04-29 644
内存管理-内存占用: 一般来说内存占用大小有如下规律:VSS >= RSS >= PSS >= USS VSS - Virtual Set Size 虚拟耗用内存(包含共享库占用的内存)是单个进程全部可访问的地址空间 RSS - Resident Set Size 实际使用物理内存(包含共享库占用的内存)是单个进程实际占用的内存大小,对于单个共享库, 尽管无论多少个进程使...
UWA渲染篇_概念(一)
岁月静好
04-28 559
Mono:unity的跨平台技术是基于Mono的,有点类似于java的虚拟机的概念,所以游戏中的内存管理也还是由Mono进行分配管理的 FPS:流畅度说明,通常情况下是多少帧/s的数值。关于获取这个数值有些坑,通常来说通过ADB来获取游戏的运行时FPS是不准确的,而且很难不影响游戏的性能开销,推荐一种做法是在updata里做个计时器,秒为周期。输出每秒的帧率。也就是1秒内运行看了多少次updat...
2D可拉伸壁球_UWA_2DSquashMove.zip
09-04
UWA(Unreal World Application)可能指的是一套面向游戏和应用开发者的工具集或框架,它们致力于提供强大的图形渲染和物理模拟能力,使开发者能够创建出更为生动和高质量的用户体验。2D可拉伸壁球技术作为其中的一...
UWA通用建站系统 2.3.11.zip
05-24
UWA通用建站系统 2.3.11 更新日志:2017-10-18 [修复]修复备份还原过程可能造成空白丢失;[优化]后台发送验证邮件不受时间间隔限制;[优化]优化会员中心会员信息输出;[修复]修复会员中心模板错误;[更改]更新编辑...
php_UWA 2.X 通用建站系统 v2.2.5.zip.zip
09-25
5. **模板系统升级**:提供了更多样化的模板选择,或者增强了模板编辑器的功能,让用户可以更自由地设计网站外观。 6. **插件和模块支持**:可能增加了对第三方插件或模块的支持,使系统功能更加丰富和灵活。 此外...
UWA总体性能篇_数值标准(二)
岁月静好
04-29 821
CPU性能占用中: >33ms帧数占比最好不超过10% GC调用: Unity引擎开发的项目中,其内存分配主要由三部分组成:程序代码、托管堆(Managed Heap)以及本机堆(Native Heap)。其中,对于目前绝大多数基于Unity引擎开发的项目而言,其托管堆是由Mono分配和管理的。“托管” 的本意是Mono可以自动地改变堆的大小来适应你所需要的内存,并且适时地调用垃圾回收...
国内常用的网站源码及服务商介绍
weixin_42832157的博客
12-01 362
网站源码建站的优势包括:生态多元化,可适配多场景需求;兼具安全稳定特性与轻量化、高性价比选择;支持社区互动功能与垂直行业深度定制;融合国产数据库适配与低代码技术,更高效便捷,且贴合本土使用需求,能满足不同用户的核心建站诉求。
MySQL 教程(超详细,零基础可学、第一篇)
2509_94101649的博客
11-27 332
MySQL 是一个关系型数据库管理系统,由瑞典 MySQL AB 公司开发,目前属于 Oracle 公司。MySQL 是一种关联数据库管理系统,关联数据库将数据保存在不同的表中,而不是将所有数据放在一个大仓库内,这样就增加了速度并提高了灵活性。MySQL 是开源的,目前隶属于 Oracle 旗下产品。MySQL 支持大型的数据库。可以处理拥有上千万条记录的大型数据库。MySQL 使用标准的 SQL 数据语言形式。MySQL 可以运行于多个系统上,并且支持多种语言
JienDa聊PHP:电商实战中主流PHP框架的协同策略与架构优化
Jien Da官方博客
11-29 1061
摘要 本报告探讨了在复杂电商系统中如何协同使用Laravel、Symfony和Yii三大PHP框架。电商系统具有业务复杂、高并发、快速迭代等特点,单一框架难以满足所有需求。报告分析了各框架的优势:Laravel适合快速开发前端和管理后台,Symfony适用于高并发核心交易服务,Yii则擅长高性能API和后台系统。提出了三种协同架构模式:主从混合式架构(以Laravel为主集成其他框架)、微服务异构架构和模块化单体架构,并提供了具体实施策略和代码示例。为技术团队提供了可行的框架协同方案,以优化电商系统架构。
windows配置永久路由
最新发布
2509_94095062的博客
12-01 175
在实际应用场景中,遇到了这样一个需求,高斯数据库在生产内网中,我们使用nginx将高斯数据库服务代理出来,并且配置了ip限制,只能使用公司的外网ip进行访问,由于连接上公司VPN以后并不能成功访问数据库,这时候便想到了配置一个永久的路由以上就是今天要讲的内容,本文仅仅简单介绍了windows配置永久路由的方法。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值