whmcs主机管理系统0day

发现BaigoCMS与用户注册流程中的安全漏洞
最新推荐文章于 2023-09-17 10:08:56 发布
转载 最新推荐文章于 2023-09-17 10:08:56 发布 · 356 阅读 · 0
文章标签:

#user #session #qq #iis #脚本

本文深入探讨了BaigoCMS系统中关于用户注册页面的潜在安全问题,包括注册表单中对特殊字符的过滤不足,以及利用IIS6.0解析漏洞进行的恶意注册操作。此外,文章还揭示了该系统中存在的XSS攻击风险,以及用户上传头像时可能引发的安全隐患。
转载: 天天向上网 http://www.52harry.com/network/2011-12-13/826.html

  • 版权声明:转载时请以超链接形式标明文章原始出处和作者信息及本声明
    http://slhack.blogbus.com/logs/180963618.html

    ############################################################################
    #
    #  Title: baigo bbs&baigo cms

    #  Time:2011-12-11

    #  Team:t00ls

    #  Author: darkdu0
    ############################################################################

    user_reg.asp
    '注册
    case "user_reg_do"

            user_name = trim(request.form("user_name"))
            user_pass = trim(request.form("user_pass"))
            user_pass_again = trim(request.form("user_pass_again"))
            user_mail = trim(request.form("user_mail"))
            user_pass_question = trim(request.form("user_pass_question"))
            user_pass_answer = trim(request.form("user_pass_answer"))
            user_sex = trim(request.form("user_sex"))
            user_www = trim(request.form("user_www"))
            user_sign = trim(request.form("user_sign"))
            user_face = trim(request.form("user_face"))
            user_qq = trim(request.form("user_qq"))
            user_msn = trim(request.form("user_msn"))
            %>
    简单过滤空格
            if instr(user_name,"        ") > 0 or instr(user_name,"#") > 0 or instr(user_name,"`") > 0 or instr(user_name,"|") > 0 or instr(user_name," ") > 0 or instr(user_name," ") > 0 or Instr(user_name,"%") > 0 or Instr(user_name,"&") > 0 or Instr(user_name,"ヴ") > 0 or Instr(user_name,"ヂ") > 0 or Instr(user_name,"ゼ") > 0 or Instr(user_name,"ヅ") > 0 or Instr(user_name,"") > 0 or Instr(user_name,"+") > 0 or Instr(user_name,"=") > 0  or Instr(user_name,"'") > 0 then
            session("message") = "

  • 用户名中不能含有特殊符号 "

 

    •         session("message") = session("message") & "
    • 返回 "

 

    • 没有检测;分号   可以注册duos.asp;1的账户

 

    • 有个特性是注册会员上传的头像是根据自己名字来保存图片  

 

    • 注册duos.asp;1的账户 ==》上传脚本.jpg==》自动保存为 duos.asp;1.jpg (这点可以利用IIS6.0的解析漏洞)

 

2.
XSS很多。  这个对论坛影响较大。


WHMCS主机管理软件 v5.3.10
10-24
WHMCS是一套国外流行的域名主机管理软件,跟国内众所周知的IDCSystem一样,主要在用户管理、财务管理、域名接口、服务器管理面板接口等方面设计的非常人性化。WHMCS是一套全面支持域名注册管理解析,主机开通管理,...
虚拟主机管理系统whmcs5.03和谐版
04-28
WHMCS是当今国外非常流行的服务器空间客户管理系统,可以完美配合cPanel/WHM/DirectAdmin/Plesk等主流主机管理软件使用,提供在线订购、网上支付、客户支持等各种常用功能。如果觉得陌生,看一下官方的演示吧,你一定...
最新2018 WHMCS安装教程
lis1107的博客
04-11 5601
作为基于PHP & MySQL的应用,WHMCS的安装相对比较简单。主要可分为安装前、安装中及安装后三个阶段,具体参考以下步骤。安装前准备工作1、下载WHMCS(1)访问WHMCS官网,https://download.whmcs.com/(2)点击Full Release标题下的下载按钮——这将是最新正式版如果您的WHMCS授权从WHMCS授权分销商(比如国内的上海锐成,www.race...
whmcs系统云服务器购买,whmcs主机服务器
weixin_39559559的博客
08-12 400
whmcs主机服务器 内容精选换一换用户可以在管理控制台对专属主机上的云服务器进行管理类操作,包括开机、关机、重启、删除。登录管理控制台。单击管理控制台左上角的,选择区域和项目。选择“计算 > 专属主机”。进入专属主机信息页面。进入专属主机信息页面。在专属主机列表中,单击专属主机的名称。进入该专属主机信息页面。进入该专属主机信息页面。在“专属主机上的云服务器”区域的云服务器云服务器可以在专属...
whmcs对接cdn系统_对接whmcs常见报错信息及解决方法
weixin_34698515的博客
02-22 793
API用户名密码错误解决办法:检查DCIM的API接口及WHMCS的服务器设置的用户名和密码是否一致。连接端口错误解决办法:检查SSL端口是否填写正确DCIM无法连接解决办法:检查WHMCS服务器设置中的主机名及IP是否填写正确自动开通失败:该分组没有空闲服务器解决办法:检查在DCIM设备销售分组里是否有空闲服务器不能实现自动开通解决办法:①在WHMCS添加产品时,注意在【模块设置】中,需勾选【当...
Whmcs、ZKEYS、星外、云谷IDCsystem、一对一、Swapidc哪个主机系统好用?
weixin_45587182的博客
10-22 3594
随着云计算技术的发展,许多互联网公司借助云计算实现了飞速发展,取得了非常了不起的成绩,长期关注VPS的伙伴当中,肯定有一部分人想自己开办云服务器销售网站,自己创业当老板,通过不断努力,完成人生价值的升华,最终实现财务自由。目前市面上做这个IDC主机销售管理系统也是蛮多家的,虽然名字不太一样,但是功能模块也差不多,我今天主要简单聊聊Whmcs、ZKEYS、星外、云谷IDCsystem、一对一、Swapidc,为大家作为一个选择参考。 1、Whmcs(官网) WHMCS是一套在国外很流行的域名主机管理系统,主要
WHMCS余额管理插件
码农洪 - WHMCS插件开发
09-17 411
在单一页面集中管理用户余额,默认仅显示余额大于0的用户,支持按照用户信息进行搜索。
有什么服务器商支持whmcs对接,使用WHMCS搭建一个主机销售网站图文教程
weixin_39824020的博客
07-30 838
WHMCS是一套用来出售主机、域名的管理系统,当然也可以开发插件后对接销售其他商品,使用WHMCS程序搭建的网站来进行销售很方便同时也很好管理。本文小编就给大家介绍下如何安装一个WHMCS主机销售网站。一、首先安装IoncubeLNMP一键安装方法:SSH连接到服务器后,cd切换到lnmp安装文件夹。然后输入./addons.sh install ionCube进行安装。二、然后添加虚拟主机和数...
反向代理WHMCS主机销售系统,获取客户本地真实IP的办法
PHP后端工程师成长之路
12-09 534
小z博客大佬的一键Nginx安装包(适用于Centos 7、Deebian 8),执行下面的命令安装即可。 wget https://raw.githubusercontent.com/helloxz/nginx-cdn/master/nginx.sh chmod +x nginx.sh && ./nginx.sh #创建缓存目录 mkdir -p /data/wwwroot/caches/zhujifan #设置缓存目录权限 chown -R www:www /data/wwwroot/c
whmcs对接cdn系统_whmcs全站用cdn 后台无限登录解决方法
weixin_39723920的博客
12-22 392
最近给一个whmcs网站用了全站的cdn,不知道是不是这个cdn的问题,反正上之后,网站后台就无限登录了。用的Any cast技术的cdn,也是为了防御吧,虽然后端真实ip用的100G防御,但是为了速度,只好再用上cdn了。搜索了下,网上很少讲到这个问题的,只有一个关于用本地文件获取真实ip的方法。再加上我对whmcs也不熟悉,刚接触几天...就只好按照php获取真实ip来修改了。修改config...
whmcs对接cdn系统_WHMCS使用CDN后无法登陆前后台的解决方法
weixin_30458701的博客
01-13 482
各位站长在搭建了WHMCS之后,会有部分站长朋友会考虑使用CDN为网站加速,但用了可就是个坑啊,会产生某些小问题的出现。众所周知,whmcs内置了一个访客ip判断机制,如果ip对应不上就会导致许多操作都产生问题,最重要的就属登录了,不仅仅是前台登录还是后台管理员登录,都会登录不上!具体症状:账号密码错误的情况下会正常提示密码错误,账号密码正确的情况下会刷新一下网页,然后就没有然后了。。。那么该如何...
Hostrocket WHMCS 主机空间主题
05-08
Hostrocket WHMCS 主机空间主题是一款专为主机服务提供商设计的专业模板,旨在通过美观、简洁的界面提升用户的用户体验,从而有效地推广和销售主机托管服务。这个主题是基于HTML5技术构建的,确保了在不同设备上的...
基于PHP的WHMCS域名主机管理软件源码.zip
08-29
它易于学习,且拥有丰富的库和框架,能够与MySQL等数据库紧密集成,非常适合构建动态网站和Web应用程序,如WHMCS这样的管理系统。 在这个压缩包内,文件"132678426963788365"可能是WHMCS源代码的一个部分或者整个...
CSS设置视频透明[项目源码]
最新发布
11-25
本文介绍了如何使用CSS的mix-blend-mode属性来实现MP4视频背景色透明效果。通过mix-blend-mode属性,可以对图片或视频进行混色处理,从而达到透明效果。文章提供了详细的代码示例,包括HTML结构和CSS样式,展示了如何将视频与背景图混合,并附上了效果图的参考地址。代码示例中,通过设置video元素的mix-blend-mode为screen,实现了视频与背景图的混合效果。
CSS防止页面滚动技巧[源码]
11-25
本文介绍了多种CSS技巧来防止页面滚动或控制元素显示。首先,使用`overflow: hidden`可以确保圆角边框效果正常显示。其次,`z-index`属性用于控制元素的层叠顺序,决定其在Z轴上的显示优先级。`fixed`定位使元素脱离文档流,固定在浏览器窗口,不随页面滚动。在uniapp中,可以通过`::-webkit-scrollbar{ display: none }`隐藏滚动条以防止滚动。此外,还演示了如何通过`left:50%`和`transform:translateX(-50%)`实现水平居中,以及通过`top:-22%`向上偏移图片。这些技巧适用于多种场景,帮助开发者更好地控制页面布局和滚动行为。
STM32F103 弹弹球游戏 程序
11-25
提供了STM32F103平台的弹弹球游戏程序,适用于野火指南者STM32F103开发板。该程序经过优化,可方便地移植到其他类似平台。 功能特点 实现了基本的弹弹球游戏逻辑 支持游戏画面显示 支持按键操作 使用说明 确保您已具备STM32F103开发环境,包括开发板、编程器和相关软件。 将程序文件下载到您的计算机。 使用合适的编程工具,将程序烧录到STM32F103开发板。 按照开发板说明书,连接好显示屏和按键。 打开电源,运行程序,即可开始游戏。
高手C+C语言+登顶嵌入式
11-25
高手C,包含C语言高级别用法等
FastGS:3D高斯溅射加速[代码]
11-25
FastGS是一种创新的3D高斯溅射(3DGS)加速框架,由南开大学开发,旨在解决现有方法在训练过程中难以有效控制高斯分布数量的问题。该框架通过多视图一致性机制全面评估高斯基元的重要性,设计了基于多视图一致性的密度增强与剪枝策略,摒弃了传统预算分配机制。实验表明,FastGS在Mip-NeRF 360、Tanks & Temples和Deep Blending数据集上实现了显著的训练速度提升,最高可达15.45倍加速,同时保持与DashGaussian相当的渲染质量。FastGS还具有强大的通用性,适用于动态场景重建、表面重建、稀疏视图重建、大规模重建及同步定位建图等任务,训练加速比达2-7倍。
PyCharm测试模式修改[源码]
11-25
文章介绍了如何将PyCharm从测试模式运行代码修改为正常模式运行的方法。通过参考转载的链接内容,用户可以找到具体的操作步骤,解决在PyCharm中运行代码时默认进入测试模式的问题。该问题可能影响开发效率,因此掌握修改方法对开发者来说非常实用。
WHMCS域名主机管理系统PHP版功能介绍
资源摘要信息:"基于PHP的WHMCS域名主机管理软件.zip" 知识点: 1. WHMCS介绍 WHMCS是一个全面的客户端管理解决方案,主要用于自动化Web主机的业务流程。它包括在线订单处理、域名注册、客户管理、账单及发票生成等...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值