代码审计:cmseasy(易通cms)xss配合csrfgetshell0day详解附利用exp

作者: 云计算机网 分类: 云安全 发布时间: 2015-03-09 04:34

celive/index.php 代码:


$_SESSION['thislive'] = md5(time());$_SESSION['thislivetmp'] = $_SESSION['thislive'];if ($config['customer_info']) {header('Location: '.$config['url'].'/live/?action=0&module=celive&thislive='.$_SESSION['thislive'].'&departmentid='.addslashes($_GET['departmentid']));} else {header('Location: '.$config['url'].'/live/?action=1&module=celive&thislive='.$_SESSION['thislive'].'&departmentid='.addslashes($_GET['departmentid']));}

通过 302 header 到\celive\live\index.php这个地址,而且
$thislive=’.$_SESSION['thislive'] 每次访问的值都会不一样.

\celive\live\index.php 代码:


if(isset($_GET['departmentid'])){   $departmentid=addslashes($_GET['departmentid']);  }else{   $sql = "SELECT `departmentid` FROM `".$config['prefix']."assigns` WHERE 1";   @$result = $GLOBALS['db']->my_fetch_array($sql);   $tatolr=count($result)-1;   $randomr=rand(0,$tatolr);   $departmentid = $result[$randomr]['departmentid'];  }  $timestamp=time();  $name=addslashes($_POST['name']);  $email=addslashes($_POST['email']);  $phone=addslashes($_POST['phone']);  $name=(!empty($name)) ? $name : 'Guest';  $email=(!empty($email)) ? $email : '-';  $phone=(!empty($phone)) ? $phone : '0';  $ip=$_SERVER["REMOTE_ADDR"];  $ip=iconv('gb2312',$GLOBALS['lang']['charset'],$ip);  if(empty($departmentid)) $departmentid=0;  if($_SESSION['thislivetmp']==$_GET['thislive']){  $db->query("INSERT INTO `sessions` (`id` ,`name` ,`email` ,`phone` ,`departmentid` ,`timestamp` ,`ip` ,`status` ) VALUES (NULL , '".$name."', '".$email."', '".$phone."', '".$departmentid."', '".$timestamp."', '".$ip."', '0');");  $sessionid = mysql_insert_id();  $_SESSION['departmentid'] = $departmentid;  $_SESSION['sessionid'] = $sessionid;  $_SESSION['timestamp'] = $timestamp;  $_SESSION['name'] = $name;  }

$name=addslashes($_POST['name']);这里可以xss 但是他是302 head过来的 。

if($_SESSION['thislivetmp']==$_GET['thislive']) 要绕过这个判断,
\celive\live\index.php 只能访问一次,以保证header过去的GET变量

和session[thislivetmp] 一样 and =) produces

java 编程 得到302地址和cookie 构造 post name 为js地址 再 post 到302地址上 ,管理员在查看后台时
,js触发通过ajax 请求 编辑后台模块插入一句话


csrf插入到模版中的php代码

  • 越来越多客户采用AP+AC架构搭建无线网络,本方案旨在为连锁业实现顾客便捷接入无线认证(微信认证、短信认证等)及符合公安部82号令的合规审计,帮助商业机构规避WIFI运营法律风险,为O2O提供线下基础机构。

    在这套基础设施上,宁盾后续结合无线、审计、认证、嗅探、定位等线下数据、与微信以及既有线上融合,为不同垂直连锁行业客户提供数字化门店及O2O整体方案,提升运营收益。

    该方案适合于鞋服连锁行业、大型KTV/酒吧/会所、教育培训机构、地产售楼处等客流密集型机构。

    1、门店审计网关+中心化认证运营架构

    该方案通过在每个门店旁路架设一台上网审计设备,该设备不串接在网络中,总部架设宁盾WIFI认证服务器,通过与AC控制器对接实现旁路Radius认证。

    平台兼容主流无线设备,包括Cisco/Aruba/艾诺威/MOTO/RUCKUS/华为/华三等。

    图1.采用宁盾WIFI认证服务器集中认证和本地旁路行为审计的拓扑架构

    2、方案特点

    (1)宁盾WIFI认证服务器架设在中心端,只是认证时和下发控制策略时产生网络通信,所以无认证用户限制。

    (2)更加便于运营:实现总部对全局运营情况的感知、可以给分支机构开通账号进行广告页面更换及运营数据的查看。

    (3)可以为每个门店开一个商户,满足不同门店定制化需求。

    (4)安全审计设备都是旁路模式在门店端部署,即使审计设备出现故障,也不会影响到用户接入网络。

    3、系统组成

    4、宁盾WIFI认证服务器功能规格

    5、审计网关

    主要功能如下表所示:


  • 相关推荐:

  • 宁盾针对连锁业无线认证
  • 分析PHPMyWindv4.5.20day漏洞
  • WordPress插件Foxypressuploa
  • Webshell代码检测背后的数
  • 土豆两个分站远程代码执
  • WordPress站长注意谨防主题
  • 将博CMS(JumboTCMS)V6代码审
  • 代码审计Espcms通杀SQL注入
  • 代码审计DEDECMS系统揪出
  • phpwind9.0云平台某插件任
  • 网站内容禁止违规转载,转载授权联系中国云计算网