phpwind9.x和8.7XSS注入以及管理后台脚本注入漏洞

最新推荐文章于 2021-03-29 03:14:06 发布
最新推荐文章于 2021-03-29 03:14:06 发布
阅读量1.5k 收藏
点赞数
文章标签: phpwind漏洞 phpwind注入漏洞 phpwind XSS漏洞 郭盛华老师 郭盛华课程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_45715145/article/details/102624358
版权
phpwind近期公布两处高危安全漏洞,包括富文本编辑器的xss注入及管理后台的脚本注入,影响9.x及8.7版本。建议立即安装官方补丁并加强监控。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

漏洞描述:
phpwind近期公布了2处安全漏洞,分别是富文本编辑器发帖的xss注入(受影响版本8.7、9.X)以及管理后台添加新用户时的脚本注入(受影响版本8.7)。
在这里插入图片描述
影响版本:
phpwind 9.x以及8.7,8.7.1

漏洞等级:
高危

修复建议:
1、安装官方最新补丁,官方补丁:http://www.phpwind.net/read/3709782
2、添加网站至云观测,及时了解网站组件突发/0day漏洞。

(来源:郭盛华微信公众号)

phpwind漏洞利用
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
03-10 1007
phpwind漏洞利用,考虑到PHPWind是国内著名的论坛程序,利用它建站的网站非常多,我顿时来了兴趣,决定看看这个漏洞怎么利用。 看漏洞的名字好像影PHPWind8.0版本,我机子里保存了以前下载的PHPWind v8.0 GBK build 20100810的源程序,在虚拟机里安装后测试漏洞不能利用,换了PHPWindForums v7.5 SP3 GBK整合版漏洞利用成功,可能是我机子中之前的版本比较新的缘故吧。下面就用PHPWind Forums v7.5 SP3 GBK整合版来给大家介绍phpw
phpwind漏洞与修复方
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
03-10 593
phpwind漏洞说明:phpwind是国内使用非常广泛的一款程序,由于在程序设计上存在错误,导致任何人可以取得前台管理员及斑主权限,做删除帖子等任意操作。 phpwind9.0一拖再拖终于发布了,看起来很NB的样子,但是其实是谁用谁知道 ,各种bug满天飞,各种报错…这个就是一例,通杀型…,官方不修复,我自己用着新版本蛋疼啊.. 签到的时候,在自定义我想说的地方,写几个引号,然后就杯具了..提交后,直接报出绝对路径..
php8.7 入侵管理员密码,phpwind 8.3~8.7 重要安全漏洞补丁发布
weixin_39717367的博客
03-13 962
PHPWind v8.7刚刚发布不久,日前PHPWind官网就发现了PHPWind 8.3~8.7全系高等级安全漏洞,并发布相应的安全补丁,用户可自行修改文件,或者下载补丁文件覆盖网站。补丁名称:phpwind 8.3~8.7bata 安全补丁(更新时间20110826)影响版本:PW8.3 PW8.5 PW8.7bata涉及文件:/lib/utility/querybuilder.class.p...
PHPWind 8.7中插件金币竞价插件的漏洞
weixin_33785972的博客
02-12 181
尽管pw团队解散,但无数站点仍在运行。   该插件的名字叫jbjingpai   无意中看到这样一篇帖子,说有漏洞 http://www.phpwind.net/read/1716722 ,不是空穴来风,查一下代码。   果然有,正是 有奖品的地方就有江湖。   1. $tid整型变量没有做整型检出转换,那后面所有sql都因此而引入了注入风险; 2. 因此而造成的可重复领取积分...
Phpwind出现严重安全漏洞
好好学习,天天向上
01-10 1047
近日,国内知名的社区PHPWIND又现严重漏洞,程序中有部分变量没有过滤导致任意包含本地文件,从而可以执行任意PHP命令,官方针对这个漏洞已经做出了修补。 phpwind 7.5 Multiple Include Vulnerabilities author: 80vulteam:http://www.80vul.com一.api/class_base.php本地包含漏洞1.描叙 api/cla
漏洞复现:phpwind v 9.0.2后台getshell
qq_41631806的博客
04-05 3740
漏洞复现:phpwind v 9.0.2后台getshell 已知影响版本:v9.0.1,v9.0.2 复现版本:9.0.2 搭建环境:phpstudy2018 步骤: 1.将源码放置网站根目录(C:\phpStudy\PHPTutorial\WWW)。如下操作,刷新首页,或修改删除目录下.htaccess文件可解决首页访问限制情况: 2.打开install.php页面安装好phpwind后登陆后...
phpwind-UTF8-8.7
最新发布
09-24
"phpwind-UTF8-8.7" 是一个基于PHP的开源社区论坛系统,主要针对中文用户设计,...通过学习掌握以上知识点,管理员可以更好地利用phpwind-UTF8-8.7搭建管理自己的社区论坛,满足用户需求,促进社区活跃度凝聚力。
阿里云PHP防注入脚本:实战防止XSSCSRF攻击
本文主要介绍了一款由阿里云提供的PHP实现的防止跨站脚本(XSS)SQL注入攻击的防护脚本。该脚本旨在增强Web应用程序的安全性,通过在PHP代码中集成,帮助开发者防御常见的Web安全漏洞。 首先,要实现这个防护,用户...
phpwind论坛程序8.7
08-06
针对常见的 web 攻击,如 SQL 注入XSS 跨站脚本等,PHPWind 8.7 做了相应的安全防护措施,提升了系统的整体安全性。 6. **后台管理** 强大的后台管理系统,包括用户管理、内容审核、统计分析等功能,让管理员能...
PHP安全防护指南:全面防护XSS、SQL注入及代码执行漏洞
在这个给定的文件信息中,主要讨论了PHP代码的防护机制,针对常见的高危漏洞,如跨站脚本攻击(XSS)、SQL注入代码执行、文件包含等。以下是对标题描述中的知识点详细说明: 1. XSS防护 跨站脚本攻击(XSS)是...
phpwind8.7最新版(2011.11
09-06
3. 安全性强化:PHPWind8.7在安全方面也有所加强,增加了对SQL注入XSS跨站脚本等常见攻击的防护,为论坛提供了一道坚实的防线。 二、功能亮点 1. 社区互动:PHPWind8.7提供了丰富的社区互动工具,如话题推荐、...
phpwind Exp 漏洞利用
10-30
phpwind Exp 漏洞利用
phpwindexp.php,PHPWind v7.5 / v8.0漏洞EXP
weixin_30703633的博客
03-22 541
PHPWind v7.5 / v8.0漏洞EXP 主题关键词:phpwind7.5影响版本:PHPWind v7.5 / v8.0命令 :php pking.php user passhttp://www.xxxx.com/pking.php:复制内容到剪贴板程序代码
PHPWind v7.5 / v8.0漏洞EXP
收集盒 Book box
08-29 3033
PHPWind v7.5 / v8.0漏洞EXP 主题关键词:phpwind7.5 影响版本:PHPWind v7.5 / v8.0 命令 :php pking.php user passhttp://www.xxxx.com/ pking.php:复制内容到剪贴板程序代码
phpwind index.php?m=design&c=api,phpwind v9存在命令执行漏洞(登陆后台
weixin_30249953的博客
03-13 585
已知漏洞:https://www.seebug.org/vuldb/ssvid-94465phpwind v9最新版存在命令执行漏洞(登陆后台)Phpwind_v9.0.2(最新版),phpwind_v9.0.1命令执行高危(getshell)phpwind是一个基于PHPMySQL的开源社区程序,是国内最受欢迎的通用型论坛程序之一。社区可提供丰富的应用,满足人们获取信息、交流、娱乐、消费等生活...
php8.7 入侵管理员密码,phpwind 8.7后台拿shell及修复
weixin_42356315的博客
03-13 637
首先点开后台地图 然后附件设置 添加一个ashx后缀 2000大小群里面我以前扔的那个ashx.txt 下载回来改成fuck.ashx发表文章那边有个附件上传 把ashx扔上去 前提是iis 阿帕奇我还真不知道咋整然后再打开后台地图 附件优化 滑到下面就看到刚上传的ashx打开之后空白 会在目录底下生成r00ts.asp 密码r00ts下面是代码:using System;using System...
用友漏洞php,Phpwind GET型CSRF任意代码执行漏洞公开
weixin_36285392的博客
03-29 557
这个洞其实很有意思,最可惜的地方就是其触发位置在后台,否则它将是一个绝无仅有的好洞。0x01 后台反序列化位置首先纵览整个phpwindv9,反序列化的位置很多,但基本都是从数据库里取出的,很难完全控制序列化字符串。
最后,找到三处:可恶的是,三处都在后台的Task模块下。Task模块是『任务中心』功能,只有能进入后台的用户才可以访问:随便打开一个, src/applications/task/a...
Phpwind v9.0 存储型xss跨站漏洞
weixin_30595035的博客
09-26 245
漏洞版本: Phpwind v9.0 漏洞描述: Phpwind专注于中小网站应用的整合价值的发掘,我们认为,以社区为网站的基础,可以提供丰富的应用,满足人们获取信息、交流、娱乐、消费等生活需求、获得归属感,成为人们的网上家园。 发帖回帖,上传图片处,绕过客户端限制。也可以通过高级,的代码模式进行编辑,插入XSS代码 <* 参考 http://loudong...
phpwind暴出跨站漏洞,小漏洞,大危害
网络——菜市场
10-19 2771
 phpwind暴出跨站漏洞,小漏洞,大危害来源:华夏黑客联盟(www.hxhack.com)前言:大家都应该知道,国内主流论坛程序主要有两大家,一种是phpwind论坛程序,一种是dz论坛程序;不知道的,百度搜索一下便知道了。我也是无意间发现这个漏洞的,如果有人恶意利用以下的方法,谁又会想到phpwind官方网站竟然会被人通过这样的方法挂马?小漏洞存在的危害并不小!所以提醒广大的网民一定要警惕网
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值