分类 "代码审计" 下的文章

  • Typecho 反序列化漏洞导致前台getshell

    最早知道这个漏洞是在一个微信群里,说是install.php文件里面有个后门,看到别人给的截图一看就知道是个PHP反序列化漏洞,赶紧上服务器看了看自己的博客,发现自己也中招了,相关代码如下:然后果断在文件第一行加上了die:<?php die('404 Not Found!'); ?>今天下午刚好空闲下来,就赶紧拿出来代码看看。漏洞分析先从install.php开始跟,229~2...

  • FineCMS前台getshell

    FineCMS企业网站管理系统(简称免费版或企业版)是一款基于PHP+MySql+CI框架开发的高效简洁的中小型内容管理系统,面向多终端包括Pc端网页和移动端网页,支持自定义内容模型和会员模型,并且可以自定义字段,可面向中小型站点提供重量级网站建设解决方案,适用于小型站点、企业级网站、新闻内容网站等。漏洞概要finecms某处过滤不严格,导致可上传任意脚本文件。漏洞详情依旧是Attachme...

  • Zabbix SQL注入漏洞分析

    zabbix sql注入漏洞爆出来已有好几天了,最近忙于安全盒子用户中心的设计,一直没有去研究这个注入,今天早起,闲暇时间写下该文。zabbix简介zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题。影响版本2.0.x3.0.x我这里的分析的版...