盾灵原创文章投稿系统后台绕过漏洞

最新推荐文章于 2024-05-22 14:33:16 发布
原创 最新推荐文章于 2024-05-22 14:33:16 发布 · 置顶 · 1.8k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#代码审计-后台绕过

本文探讨了盾灵原创文章投稿系统后台的一个安全漏洞,通过未过滤的SQL注入,可以绕过登录验证。利用 payload 如 'admin'# 和 'or 1=1#',即便不知晓准确账号和密码,也能实现后台登陆。该问题揭示了SQL注入攻击的危险性和进行安全审计的重要性。

来到登陆地址,login.php,我们看下这个文件的源码。

<?php
require '../config.php';
$adminname = $_POST['adminname'];
$adminpass = $_POST['adminpass'];
$adminpass .= "Axphp.com";
$adminpass = md5($adminpass);
$adminsql = "select * from axphp_admin where adminname='$adminname' and adminpass='$adminpass'";
$adminery = mysql_query($adminsql,
最低0.47元/天 解锁文章
springboot毕设项目家政服务管理平台m7qt4(java+VUE+Mybatis+Maven+Mysql)
计算机毕设杨学长
08-12 3097
Jdk1.8 + Tomcat8.5 + Mysql + HBuilderX(Webstorm也行)+ Eclispe(IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持)。Springboot + mybatis + Maven + Vue 等等组成,B/S模式 + Maven管理等等。2. 前端:vue+css+javascript+jQuery+easyUI+highcharts。2. 使用IDEA/Eclipse/MyEclipse导入项目,修改配置,运行项目;...
PHP代码审计 15 实战盾灵投稿系统 cookie 后台绕过漏洞
kevinhanser
07-23 1033
本文记录 PHP 代码审计的学习过程,教程为暗月 2015 版的 PHP 代码审计课程 PHP 代码审计博客目录 1. 简介 盾灵投稿系统 脚本之家下载链接 互联网上下载源码,自己搭建一下就好了 我搭建的本地系统位置为 http://10.10.10.130/dunling,是在 Metasploitable-linux2 上面改的,本系统需要修改 mysql 密码...
后台管理系统代码_【程序源代码】一套简单通用的后台管理系统
weixin_39658019的博客
01-27 1341
关键字:管理系统 开发框架正文|内容01—【介绍】Base Admin一套简单通用的后台管理系统,主要功能有:权限管理、菜单管理、用户管理,系统设置、实时日志,实时监控,API加密,以及登录用户修改密码、配置个性菜单02—【源码获取方式】https://gitee.com/huanzi-qch/base-admin.git联系方式公众号ID:itcode微信ID:itc...
盾灵原创文章投稿系统 v1.0
05-15
盾灵原创文章投稿系统用于收集收购写手的原创文章,可用于SEO执行install/进行安装。   
基于PHP的盾灵原创文章投稿系统源码.zip
10-10
盾灵原创文章投稿系统】该系统设计的目标是保护和鼓励原创内容的创作。它可能包含以下功能: 1. 用户注册与登录:允许用户创建账户并安全登录,以便进行文章投稿。 2. 文章提交:用户能够上传、编辑和提交他们的...
盾灵原创文章投稿系统 v1.0.zip
07-06
"盾灵原创文章投稿系统 v1.0" 是一个基于PHP开发的内容管理系统,主要用于收集和管理原创文章,尤其适用于搜索引擎优化(SEO)目的。这个系统提供了便捷的文章投稿平台,可以帮助网站或博客快速获取高质量的原创内容...
基于PHP的盾灵原创文章投稿系统.zip
07-25
【标题】中的“基于PHP的盾灵原创文章投稿系统”表明这是一个使用PHP编程语言开发的文章投稿平台。PHP是一种广泛使用的开源脚本语言,特别适合于Web开发,可以嵌入到HTML中,为网站提供动态内容。 【描述】中的信息...
php毕业设计源码成品-基于php用户在线投稿管理系统[包运行]
jicoding10的博客
09-03 207
用户在线投稿管理系统是基于php编程语言,mysql数据库开发的基于BS架构的系统,系统分为用户,管理员,审核人员三个角色,用户功能主要是查看专题,根据专题进行投稿,查看投稿审核状态,回复评论等;审核人员审核用户投稿等功能,本设计功能齐全,代码注释清晰,适合作为php毕业设计和课程设计参考学习。
Adminer≤4.6.2任意文件读取漏洞1
08-03
Adminer≤4.6.2 任意件读取漏洞0x01 前SQLite、PostgreSQL 等众多主流数据库,类似于 phpMyAdmin 的 MySQL 管理客
盾灵公众号推广系统 v1.3.zip
07-07
盾灵公众号推广系统系统说明: 盾灵公众号推广系统主要应用于公众号的推广联盟,适合个人及企业的订阅号及服务号或者企业号,无需多余的接口,只要简单配置即可实现相应的功能.可用于多用户联盟,支持多个广告主(公众号管理员)及多个关注赚钱会员;系统强大稳定,数据实时,可设置提现手续费.设置关注单价,本系统具有强大的防作弊功能,关注后,若取消关注,即可实时扣除拥金或者多倍拥金(后台可进行设置). 盾灵公众号推广系统安装说明 上传到网站根目录下 运行 http://您的网址/install/index.php 进行数据库配置安装 后台目录 /dunling/    注意后台目录并非admin 进后台/dunling/ ,默认密码 第一排,从左至右,依次点击即可自动进入 为了安全起见,请在后台修改密码 (注:如果需要重装,请将install目录下的index.lock改名为index.php即可) 盾灵公众号推广系统 更新日志: 1 修复部分用户无法提交任务的BUG 2 新增网页流量吸粉插件 3 修复后台cookie绕过验证的BUG 4 修复其它已知的BUG 盾灵公众号推广系统登录界面 盾灵公众号推广系统后台管理 后台路径:/admin/ 默认密码 第一排,从左至右,依次点击即可自动进入 后台页面 相关阅读 同类推荐:站长常用源码
盾灵朋友圈分享系统 2.02.zip
05-24
盾灵朋友圈分享系统基于PHP MySQL制作,可在朋友圈分享笑话、新闻、旅游、娱乐、养生等内容。
网站稿件管理发布系统需求规格说明书
08-05
3.1.1.1 稿件处理流程 2 3.1.1.2 稿件查询 3 3.1.1.3 稿件增加 3 3.1.1.4 稿件修改 3 3.1.1.5 稿件批准 3 3.1.1.6 稿件到期和稿件删除 3 3.1.1.7 稿件显示 3
在线投稿系统
04-16
该系统为一个网页系统,采用java语言,分为上传人,专家,管理员,有稿件上传,稿件下载,稿件搜索的功能,是一个完整的系统。
HTB-AdmirerToo
qq_53142368的博客
07-12 2755
HTB
mysql 任意文件读取漏洞_Adminer任意文件读取漏洞
weixin_33918358的博客
02-07 2704
软件简介官方网站:https://www.adminer.org/Adminer是一款轻量级的Web端数据库管理工具,支持MSSQL、MSSQL、Oracle、SQLite、PostgreSQL等众多主流数据库,类似于phpMyAdmin的MySQL管理客户端,整个程序只有一个PHP文件,易于使用安装,支持连接远程数据库。漏洞原理Adminer任意文件读取漏洞其实来源于MySQL“LOAD DAT...
Vulhub——adminer
最新发布
qq_55202378的博客
05-22 1323
Adminer是一个PHP编写的开源数据库管理工具,支持MySQL、MariaDB、PostgreSQL、SQLite、MS SQL、Oracle、Elasticsearch、MongoDB等数据库。Adminer是一个PHP编写的开源数据库管理工具,支持MySQL、MariaDB、PostgreSQL、SQLite、MS SQL、Oracle、Elasticsearch、MongoDB等数据库。在Adminer登录页面中填写恶意服务地址和用户名。,即可查看到Adminer的登录页面。
HackTheBox::Admirer
aya3t的博客
10-14 1004
HackTheBox::Admirer
西盟文章投稿系统1.1版本:后台管理与安全设置
西盟文章投稿系统Ver 1.1是一个基于ASP和ACCESS技术构建的网站应用程序。从给出的信息中,我们可以提取出若干个IT相关的知识点进行详细阐述: 1. **ASP开发技术**:ASP(Active Server Pages)是微软公司开发的一种...
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值