手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中

记对OpenSNS的一次代码审计

来源:本站整理 作者:佚名 时间:2019-07-08 TAG: 我要投稿

概述
OpenSNS是想天科技开发的一款综合性社交软件。您可以使用OpenSNS快速搭建一个类似于新浪微博一样的功能强大的社交网站。您的社交网站也可以在微信中被访问,还支持?#36824;?#21644;安卓手机通过APP的?#38382;?#20351;用。除此之外,OpenSNS还提供云市场进行功能扩展,大量的扩展让你的网站如虎添翼。官网:http://www.opensns.cn/
相关环境
源码信息:OpenSNS开源版
漏洞类型:后台getshell
下载地址:http://www.opensns.cn/home/index/download.html
漏?#27425;?#20214;:./Application/Admin/Controller/ThemeController.class.php 第170行
漏洞原理
程序在上传zip文件时,自动对zip文件进行解压没有对解压出文件的内容进行过滤就直?#26377;?#20837;硬盘。
漏洞分析
代码中对上传文件进行了后缀名过滤,对非法尾缀名文件进行了过滤,过两次成功后进行了解压,但是并没有对解压后的文件内容进行过滤直?#26377;?#20837;了硬盘导致了漏洞的存在

漏洞复现
1. 打开网站后台找到模板上传位置

2. 配置一个压缩包,压缩包里是一句话木马

3. 选择上传

4.上传成功确认复现


5. 上菜刀连一下

解决方案
对上传模板文件进行限?#33529;?#31105;止前台访问该目录。
结语
很多刚刚入坑的萌新们认为代码审计似乎很难,想挖到漏洞似乎只有大佬们才能实现,但是其实我想说挖到属于自己的漏洞其实并不难,需要的是你能够平静下急功近利的心,耐得住漏洞挖掘中的乏味,?#27426;?#21435;磨练自己的意志,增长自己的经验,相信自己,你是醉棒的,你也可以成为别?#25628;?#20013;的大佬!
 

【声明】:黑吧安全网(http://www.rliwo.live)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱[email protected],我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类?#35753;?/li>
        • 最近下载
        购买彩票权威网址
        手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中
        狗狗币价格2016 开元棋牌规律 佛罗伦萨美术学院在哪 我叫mt4历史石碑任务 图卢兹高等商学院交流 广西快三开奖记录 辽宁十一选五走势图手机版 捕鱼来了直播 波场币trx在哪里交易 黑龙江35选7走势图