盾灵原创文章投稿系统后台绕过漏洞

SQL注入:盾灵后台登录绕过分析
最新推荐文章于 2024-02-03 20:11:34 发布
置顶 最新推荐文章于 2024-02-03 20:11:34 发布
阅读量1.8k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 渗透测试 代码审计 文章标签: 代码审计-后台绕过
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Luosec/article/details/73180094
本文探讨了盾灵原创文章投稿系统后台的一个安全漏洞,通过未过滤的SQL注入,可以绕过登录验证。利用 payload 如 'admin'# 和 'or 1=1#',即便不知晓准确账号和密码,也能实现后台登陆。该问题揭示了SQL注入攻击的危险性和进行安全审计的重要性。

来到登陆地址,login.php,我们看下这个文件的源码。

<?php
require '../config.php';
$adminname = $_POST['adminname'];
$adminpass = $_POST['adminpass'];
$adminpass .= "Axphp.com";
$adminpass = md5($adminpass);
$adminsql = "select * from axphp_admin where adminname='$adminname' and adminpass='$adminpass'";
$adminery = mysql_query($adminsql,
最低0.47元/天 解锁文章

200万优质内容无限畅学
PHP代码审计实战之盾灵CMS
Mi1k7ea
10-20 1841
先下载一套盾灵投稿系统吧,可以在站长下载中下载。下载好之后放到自己的Web服务器相应的目录中安装配置好即可,然后使用Sublime等工具来进行白盒审计吧。 通常后台是挖掘漏洞的重要地方,这里我们只挖掘后台的一些漏洞,所以就只打开后台目录admin: 一、绕过前端JS过滤的SQL注入漏洞登录后台漏洞: 首先是访问盾灵的主页面,然后直接在URL后添加admin跳转到后台登陆界
springboot毕设项目家政服务管理平台m7qt4(java+VUE+Mybatis+Maven+Mysql)
计算机毕设杨学长
08-12 3010
Jdk1.8 + Tomcat8.5 + Mysql + HBuilderX(Webstorm也行)+ Eclispe(IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持)。Springboot + mybatis + Maven + Vue 等等组成,B/S模式 + Maven管理等等。2. 前端:vue+css+javascript+jQuery+easyUI+highcharts。2. 使用IDEA/Eclipse/MyEclipse导入项目,修改配置,运行项目;...
PHP代码审计 15 实战盾灵投稿系统 cookie 后台绕过漏洞
kevinhanser
07-23 1020
本文记录 PHP 代码审计的学习过程,教程为暗月 2015 版的 PHP 代码审计课程 PHP 代码审计博客目录 1. 简介 盾灵投稿系统 脚本之家下载链接 互联网上下载源码,自己搭建一下就好了 我搭建的本地系统位置为 http://10.10.10.130/dunling,是在 Metasploitable-linux2 上面改的,本系统需要修改 mysql 密码...
后台管理系统代码_【程序源代码】一套简单通用的后台管理系统
weixin_39658019的博客
01-27 1330
关键字:管理系统 开发框架正文|内容01—【介绍】Base Admin一套简单通用的后台管理系统,主要功能有:权限管理、菜单管理、用户管理,系统设置、实时日志,实时监控,API加密,以及登录用户修改密码、配置个性菜单02—【源码获取方式】https://gitee.com/huanzi-qch/base-admin.git联系方式公众号ID:itcode微信ID:itc...
盾灵原创文章投稿系统 v1.0
05-15
盾灵原创文章投稿系统用于收集收购写手的原创文章,可用于SEO执行install/进行安装。   
基于PHP的盾灵原创文章投稿系统源码.zip
10-10
盾灵原创文章投稿系统】该系统设计的目标是保护和鼓励原创内容的创作。它可能包含以下功能: 1. 用户注册与登录:允许用户创建账户并安全登录,以便进行文章投稿。 2. 文章提交:用户能够上传、编辑和提交他们的...
盾灵原创文章投稿系统 v1.0.zip
07-06
"盾灵原创文章投稿系统 v1.0" 是一个基于PHP开发的内容管理系统,主要用于收集和管理原创文章,尤其适用于搜索引擎优化(SEO)目的。这个系统提供了便捷的文章投稿平台,可以帮助网站或博客快速获取高质量的原创内容...
基于PHP的盾灵原创文章投稿系统.zip
07-25
【标题】中的“基于PHP的盾灵原创文章投稿系统”表明这是一个使用PHP编程语言开发的文章投稿平台。PHP是一种广泛使用的开源脚本语言,特别适合于Web开发,可以嵌入到HTML中,为网站提供动态内容。 【描述】中的信息...
PHP代码审计3—系统重装漏洞
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
06-26 1269
PHP代码审计之系统重装漏洞入门
Adminer≤4.6.2任意文件读取漏洞1
08-03
Adminer≤4.6.2 任意件读取漏洞0x01 前SQLite、PostgreSQL 等众多主流数据库,类似于 phpMyAdmin 的 MySQL 管理客
网站在线投稿系统源码下载
04-28
欢迎使用网站在线投稿系统! 方便简洁 用户可以在网上直接访问 在线投稿
口令 对应商品 php_【安全漏洞通告】盾灵商品推广系统后台fa***.php页面存在SQL注入漏洞...
weixin_35749440的博客
01-20 127
安全漏洞通告INFORMATION盾灵商品推广系统后台fa***.php页面存在SQL注入漏洞01漏洞背景盾灵商品推广系统可应用于多类型公众号,个人或企业订阅号以及服务号等均可以使用,轻松对接各类公众号,通过微信公众号的相关接口(配置后即生效)即可生成口令,将口令作为领取产品的依据产生进度,当进度达到100%的时候,用户即可领回商品的一个宣传过程,同时也为公众号带来一定的用户,非常适合公...
分享88个新闻文章PHP源码,总有一款适合你
zy0412326的专栏
12-24 6477
PHP新闻文章源码 分享88个新闻文章PHP源码,总有一款适合你 链接:https://pan.baidu.com/s/1sIPG2MGSSjm9PjNIuTeufw 提取码:y0u2 下面是文件的名字,我放了一些图片,文章里不是所有的图主要是放不下...,大家下载后可以看到。 仿环球新闻时报资讯类网站织梦模板(带手机端) v5.7 魔众文章投稿系统 v1.0.0 呆错文章系统 v1.1.6 PHP烈火文章管理系统源码 v6.0 PHP Enter CMS 国外老牌在线新闻发布系统 v5.2 中环.
php毕业设计源码成品-基于php用户在线投稿管理系统[包运行]
jicoding10的博客
09-03 194
用户在线投稿管理系统是基于php编程语言,mysql数据库开发的基于BS架构的系统,系统分为用户,管理员,审核人员三个角色,用户功能主要是查看专题,根据专题进行投稿,查看投稿审核状态,回复评论等;审核人员审核用户投稿等功能,本设计功能齐全,代码注释清晰,适合作为php毕业设计和课程设计参考学习。
万众电子期刊php源码_万众电子期刊在线阅读管理系统PHP+MYSQL版本
weixin_39673471的博客
12-21 1340
文件名大小更新时间php中提示Undefined index的解决方法.txt16502015-05-26wwwroot02014-04-27wwwroot\admin02014-04-27wwwroot\admin\admin_banner.php57602014-04-27wwwroot\admin\admin_gbook.php35962014-04-11wwwroot\admin\admi...
渗透测试中遇到的Adminer任意文件读取漏洞
网安君的博客
01-17 7378
在某次做项目的时候遇到一个mysql.php,打开发现是adminer,网上搜到任意文件读取复现的时候,用了网上很多的python脚本都无法运行起来(例如:https://github.com/allyshka/Rogue-MySql-Server)。在GitHub找到一个可以运行的脚本,原理是模拟mysql的运行。
vulhub中Adminer远程文件读取漏洞复现(CVE-2021-43008)
最新发布
yougexiaojiuguan的博客
02-03 3322
漏洞复现过程的记录,也是为了方便自己查看
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值