【1day】PHPOK cms SQL注入学习

已于 2023-09-08 23:09:41 修改
阅读量952 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 漏洞学习 文章标签: 安全 web安全
于 2023-09-01 22:06:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xiaofengdada/article/details/132631363
本文详细介绍了PHPOK CMS中的SQL注入漏洞,包括漏洞描述、资产测绘、复现过程及修复建议。攻击者可通过注入恶意SQL代码获取数据库权限,导致数据安全风险。修复措施包括数据过滤、类型限制及部署Web应用防火墙。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

注:该文章来自作者日常学习笔记,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与作者无关。

目录

一、漏洞描述

二、资产测绘

三、漏洞复现 

四、漏洞修复

一、漏洞描述

        PHPOK CMS是一个基于PHP语言开发的开源内容管理系统(CMS)。它提供了一个强大的平台,用于创建和管理网站内容。PHPOK CMS具有灵活的模块化架构,可以根据网站的需求进行定制和扩展。PHPOK CMS存在SQL注入漏洞,攻击者通过在输入字段中注入恶意SQL代码,从而绕过应用程序的身份验证和访问数据库,可能导致数据泄露、数据损坏、系统崩溃等严重后果。

二、资产测绘

  • app.name="PHPOK"

三、

了解本专栏 订阅专栏 解锁全文 超级会员免费看
PHPOKCMS 4.9.015版本存在文件上传漏洞( CNVD-2018-17547)
千寻的博客
05-06 2098
0x01 简介 PHPOK从2005年开发至今15年,是一款高效的网站建设内容管理系统,实现高定制化的开源免费建站cms 系统,百万数据量级网站平台建设,包括企业网站,电子商务平台及各种小程序和公众号平台建设 0x02 漏洞概述 phpok是一套采用PHP+MySQL开发的企业网站系统, 其4.8.338及4.9.015版本存在任意文件上传漏洞, 攻击者可利用漏洞上传任意文件,获取网站权限。 0x03 漏洞编号 https://www.cnvd.org.cn/flaw/show/CNVD-2018-
漏洞复现】熊海cms 存在sql注入 附poc
失心少年
11-26 1496
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。其采用前后端整合设计思路,php,Apache,mysql,前端使用Bootstrap和少许jquery前端框架开发;熊海CMS 是由熊海开发的一款可广泛应用于个人博客,个人网站,企业网站的一套网站综合管理系统。
审计一套CMS中的SQL注入
weixin_30790841的博客
08-07 423
漏洞分为系统漏洞和应用漏洞,系统漏洞以二进制漏洞为代表,其挖掘难度较高需要对反汇编和操作系统原理深入理解,而除了系统漏洞以外还有一些应用漏洞,包括不限MySQL,Apache,为代表的Web漏洞,这里我们就挖掘PHP代码层面的漏洞漏洞的挖掘也分为,点对点挖掘漏洞,和分散式挖掘漏洞,这我们主要使用点对点挖掘,在挖掘是我们需要找一些关键字,漏洞本身就是两个条件,可控的函数,和可控的变量...
推荐开源项目:phpok - 超灵活的PHP CMS系统
最新发布
gitblog_00091的博客
05-28 737
推荐开源项目:phpok - 超灵活的PHP CMS系统 1、项目介绍 phpok 是一个基于 PHP 和 MySQL 开发的强大且自由的内容管理系统。它提供了一整套完善的管理工具,能够满足从新手到高级开发者的需求,让你轻松构建和管理你的网站。无论你是要建立一个简单的博客还是复杂的企业级应用程序,phpok 都能提供所需的灵活性和扩展性。 2、项目技术分析 基础架构: phpok 使用经典的 L...
『PHP代码审计』飓风CMS1.10存在SQL注入漏洞
Ho1aAs‘s Blog
06-11 598
文章目录前言一、漏洞演示二、漏洞分析三、利用四、修复五、总结完 前言 作者:Ho1aAs 博客:https://blog.youkuaiyun.com/xxy605 一、漏洞演示 其他管理——TAG专题,点击提交添加tag 抓包 POST /x/admin/ajax.php?xhash=599b40fe938db62cf441b4dc7d2fa3e7 HTTP/1.1 Host: testcms.com Content-Length: 169 Accept: application/json, text/java
答疑存在sql注入的php168cms
08-15
cms问题答疑处存在sql注入,可sqlmap跑数据库。。。
phpok前台sql注入结果分析
06-08
对于 PHPok 的前台 SQL 注入漏洞,攻击者可以通过构造恶意的 SQL 语句来绕过应用程序的身份验证和访问控制,从而获取敏感信息或者修改、删除、添加数据。 攻击者可以利用 SQL 注入漏洞执行各种恶意操作,例如: - ...
houyusen#poc#PHPOK 5.3 前台注入1
07-25
一、漏洞简介 二、漏洞影响 三、复现过程 四、参考链接
Ares-X#VulWiki#PHPOK 5.3 前台注入1
07-25
一、漏洞简介 二、漏洞影响 三、复现过程 四、参考链接
bohr777#VulDocHub#PHPOK 5.3 前台无限制注入1
07-25
一、漏洞简介 二、漏洞影响 三、复现过程 四、参考链接
知名CMS软件Joomla 存SQL注入漏洞
weixin_33709219的博客
10-23 571
2019独角兽企业重金招聘Python工程师标准>>> ...
phpok系统基于PHP+MySQL开发,是一套十分自由的CMS程序
06-07
phpok系统基于PHP+MySQL开发,是一套十分自由的CMS程序,支持各种自定义配置及字段扩展,包括站点全局参数,分类扩展,项目扩展及各种自建模块!
PHPOK最新版漏洞组合拳GETSHELL1
08-03
前言PHPOK 企业站系统采用 PHP+MYSQL 语言开发,是一套成熟完善的企业站 CMS 系统,面,自定义功能强大,扩展性较好、安全性较高,可轻松解决大部分
[CMS程序]OKPHP 网站管理系统 v5.0 Build 0912_okphpcms.zip
03-13
[CMS程序]OKPHP 网站管理系统 v5.0 Build 0912_okphpcms.zip
phpok4.2.068
11-15
PHPOK建站系统(下述简称程序)是一套经典的网站建设系统,擅长展示型网站建设。 当前最新版本是4.0,开发周期长达500天。 伴随互联网的极速发展,个人开发,小团队开发的效率越来越难满足客户的需求的。开放式开发已经刻不容缓了,PHPOK正在加快脚步完善插件开发机制,后续程序将只保留最基础的功能外,其他功能将以插件扩展形式挂载,以保证程序功能的多样性。(题外话:WordPress是真心的很不错的,虽然我不喜欢他的HTML+PHP混编) 本站的帮助手册简单易用,有示例有说明,您甚至可以对帮助内容进行点评,提交您的意见,示例代码等!具体有如下几个特点: 本手册包含常见几个大类,有:入门指导,常用变量,模板与语法,插件与扩展,函数参考及其他。 使用本手册您需要有一定的程度了解并能简单使用:HTML+CSS+JS 手册中涉及的到PHP知识,我们会适当普及,不过因个人水平有限,建议大伙随时准备一份PHP文档教程 本程序最目前建站系统这一块中可配置最高的程序,一切都是自定义的,内容字段自定义,分类自定义,项目自定义,甚至网站全局变量也是可以自定义的。当然,刚刚使用起来并不是那么容易,相信我们的手册能给您不小的帮助。 打造最好的,最优雅的网站建设平台,就从这里开始。 真诚欢迎您来完善我们的帮助手册(点击左侧菜单开始阅读程序帮助信息)
铭飞CMS SQL注入漏洞复现(CNVD-2024-06148)
0xSec
04-30 1367
由于铭飞CMS文章列表接口content/list.do中的sqlWhere参数缺少对外部输入SQL语句的验证,未经身份验证的攻击者可利用该漏洞获取数据库敏感数据,进一步利用可获取服务器权限。
Taocms SQL注入(CVE-2021-44915)复现--春秋云镜靶场
m7789的博客
11-24 1322
Taocms 3.0.2版本存在SQL注入漏洞。该漏洞源于应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞通过功能编辑类别进行SQL注入
cms文件管理系统靶场的手动SQL注入
qq_42589016的博客
06-17 2868
CSM文件管理系统SQL注入
铭飞CMS list 接口 SQL注入漏洞复现
0xSec
12-14 1216
铭飞CMS在5.2.10版本以前list 接口处存在sql注入漏洞,能够利用该漏洞获取敏感信息,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xiaochuhe--kaishui

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值