PbootCMS V2.0.9 CSRF

最新推荐文章于 2024-12-24 14:21:48 发布
最新推荐文章于 2024-12-24 14:21:48 发布
阅读量904 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_38492599/article/details/106218322
版权
本文介绍了PbootCMS V2.0.9版本中存在的一种CSRF漏洞,通过构造特定URL可以直接删除用户。原本的删除操作只需用户ID,这使得利用短网址生成服务,可以隐蔽地发起攻击。管理员可能难以识别这种攻击方式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

PbootCMS V2.0.9 CSRF

我将网站建立在本地,本来想测试添加用户的操作,但是发现这里有formcheck验证,所以失败了
I built the site locally and wanted to test adding users, but found that there was form check validation, so it failed.
在这里插入图片描述
然后我想到了删除用户位置,首先我使用管理员账号登陆,在删除用户的操作时抓包。发现很简单。只有一个id来判断删除哪个用户。
Then I thought about deleting user location. First, I logged in with the administrator’s account and grabbed the package when deleting the user’s operation. The discovery is simple. There is only one ID to determine which user to delete.
在这里插入图片描述
于是我直接构造一个新的url,http://172.20.10.2/PbootCMS/admin.php?p=/User/del/ucode/10002(上面是10003)
确认这个用户是存在的。然后访问
http://172.20.10.2/PbootCMS/admin.php?p=/User/del/ucode/10002
So I c

最低0.47元/天 解锁文章
jsd1t
关注
PbootCMS 前台RCE漏洞复现
0xSec
12-07 4638
PbootCMS v
PbootCMS SQL注入漏洞
平凡
10-06 1297
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
php自定义建站系统,PbootCMS(开源免费PHP建站系统) V2.0.9 官方版
weixin_34206129的博客
03-11 1640
PbootCMS是一款采用全新内核且永久开源免费的PHP企业网站开发建设管理系统,为用户提供高效、简洁、 强悍的可免费商用的PHP CMS源码,能够满足各类企业网站开发建设的需要。【功能特色】便捷的模板标签采用高效、简洁的模板标签,只要懂HTML即可快速开发网站自主研发的内核框架系统采用自主研发的高速多层框架及缓存技术,代码整齐规范,便于二次开发便捷的数据库类型系统默认采用Sqlite轻型数据库,...
最新0day! PbootCMS全版本后台通杀任意代码执行漏洞
Liyu_6618的博客
02-02 6183
最新0day! PbootCMS全版本后台通杀任意代码执行漏洞
RCE漏洞案例-PbootCMS1.3.2
c0529的博客
05-18 1113
下载下来之后先看下md文件我们小皮上面设置好网站和数据库之后,在对应文件进行修改然后导入数据库文件之后我们直接打开网站我在这个时候遇到了两个问题1.一直显示php版本过低,我换了很多次都没办法2.显示没有带上php扩展gd扩展,这个我查看扩展是带了的我解决1的方法是不要带127.0.0.1这个前标去访问,改一下网站的域名,最好不要带特殊字符比如.这些的,可能容易造成浏览器的错误2的解决方法是换php的版本,我从5.5换到了7.0,终于登上 了。
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 6120
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
PbootCMS漏洞揭秘:绕过登录检查获取管理员权限“
理论都是虚的,代码才是王道。
01-14 5098
PbootCMS是一款基于PHP开发的内容管理系统,提供了丰富的功能和模块,但也存在一些安全漏洞。本文将介绍并详细分析PbootCMS中的一个漏洞,同时提供一个完整的实例来展示漏洞的利用过程。本文详细介绍了PbootCMS中的一个漏洞,并提供了一个完整的实例来展示漏洞的利用过程。通过了解漏洞的原理和修复方法,我们可以更好地加强系统的安全性,保护网站和用户的信息安全
Goby漏洞更新 | PbootCMS 3.1.2 远程代码执行漏洞(CVE-2022-32417)
m0_46699477的博客
04-01 6461
PbootCMSPbootCMS个人开发者的一款使用PHP语言开发的开源企业建站内容管理系统(CMS)。PbootCMS 3.1.2版本中存在安全漏洞,攻击者可通过该漏洞引发代码远程执行。
PbootCMS V3.2.9前台SQL注入漏洞(上)
C20220511的博客
12-24 1213
PbootCMS是全新内核且永久开源免费的PHP企业网站开发建设管理系统,是一套高效、简洁、 强悍的可免费商用的PHP CMS源码,能够满足各类企业网站开发建设的需要。而这也为后面的SQL注入的利用埋下了伏笔。1)仅支持PbootCMS安装选择mysql数据库的网站,PbootCMS默认情况下使用的是sqlite数据库,如果是sqlite数据库,暂时不知道如何在不引入特殊字符的情况下进行注入。只能使用\w和空格的注入,极大的限制了注入点的利用,但是仍然可以通过BOOL盲注的方式来达到注入的效果。
PbootCMS前台SQL注入漏洞(下)
最新发布
C20220511的博客
12-24 1345
如果我们传入的get('tag')的值中包含了{pboot:list}标签,则会按照parserListLabel方法中的解析逻辑对其中的值进行正则提取,并保存到变量$params中。当然是有的,PbootCMS有复杂的模板替换逻辑,只要找一个字符串替换为空的操作,然后在关键字中一直插入干扰字符,就可以轻易绕过WAF,如果你现在倒回去看一下图4,你就会发现x3e|x3c会是一个不错的选择,例如你可以使用使用下面的payload。会把xxxx设置为变量$filter的值,继续跟下面的调用逻辑。
Goby漏洞更新 - PbootCMS 3.1.2 远程代码执行漏洞(CVE-2022-32417)
dzqxwzoe的博客
02-21 1339
查看Goby更多漏洞:[Goby历史漏洞合集](https://github.com/gobysec/GobyVuls/blob/master/GobyVuls-PbootCMSPbootCMS个人开发者的一款使用PHP语言开发的开源企业建站内容管理系统(CMS)。PbootCMS 3.1.2版本中存在安全漏洞,攻击者可通过该漏洞引发代码远程执行。3.1.2版本中存在安全漏洞,攻击者可通过该漏洞引发代码远程执行。如果你对网络安全入门感兴趣,那么你需要的话可以点击这里。
PbootCMS search SQL注入漏洞
孤桜懶契
07-13 5127
搜索框页面为 ✅ Payload为 https://gylq.gitee.io/time/
保护你的网站:pbootcms漏洞修复详解
理论都是虚的,代码才是王道。
01-14 2600
通过升级pbootcms版本、修复已知漏洞、加强用户认证、输入验证和过滤以及安全的数据库操作,我们可以大大提高pbootcms系统的安全性。然而,安全是一个动态过程,我们应该时刻保持警惕并跟踪最新的安全漏洞和修复方法。同时,我们还应该过滤用户输入,以删除潜在的恶意代码。首先,我们需要确保我们使用的pbootcms版本是最新的。漏洞通常是通过已知的软件漏洞进行攻击的。因此,通过升级到最新版本,我们可以避免已知漏洞的风险。数据库操作是一个网站的核心功能,同时也是最容易受到注入攻击的地方之一。
PbootCMS XSS漏洞代码审计
afei001
10-05 1518
PbootCMS XSS漏洞代码审计
不是吧,PbootCMS v2.x也有本地文件包含漏洞呀!
一个安全研究员
02-17 3147
通用漏洞奉上
Goby 漏洞发布|PBOOTCMS /tag/index 代码执行漏洞
m0_46699477的博客
05-21 739
PbootCMS 是全新内核且永久开源免费的 PHP 企业网站开发建设管理系统,是一套高效、简洁、强悍的可免费商用的 PHP CMS 源码,能够满足各类企业网站开发建设的需要。攻击者可通过该漏洞在服务器端任意执⾏代码,写⼊后⻔,获取服务器权限,进⽽控制整个 web 服务器。
PbootCMS entrance.php SQL注入漏洞复现
iSee857的博客
12-16 478
PbootCMS entrance.php 文件代码逻辑缺陷存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。​​​​​​​
php版 v2.0,PbootCMS(开源免费PHP建站系统) V2.0.9 官方版
weixin_42494891的博客
03-10 317
相关软件软件大小版本说明下载地址PbootCMS是一款采用全新内核且永久开源免费的PHP企业网站开发建设管理系统,为用户提供高效、简洁、 强悍的可免费商用的PHP CMS源码,能够满足各类企业网站开发建设的需要。【功能特色】便捷的模板标签采用高效、简洁的模板标签,只要懂HTML即可快速开发网站自主研发的内核框架系统采用自主研发的高速多层框架及缓存技术,代码整齐规范,便于二次开发便捷的数据库类型系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值