feifeicms后台任意文件读取

其他 2018-12-31 18:34:38 阅读次数: 0

前台大略看了下，本身内容比较简单，经过“洗礼”后以及没什么问题了，基本上输入都过滤了。

这次审计找到了一个后台的任意文件读取，可以读取数据库配置文件。

在DataAction.class.php文件中，获取了$_GET['id']并直接用于路径拼凑，最后到达readfile函数中，导致了任意文件读取漏洞。

访问localhost/feifeicms/index.php?s=Admin-Data-down&id=../../Conf/config.php

需要后台权限，有点鸡肋。。。

猜你喜欢

转载自www.cnblogs.com/jinqi520/p/10202615.html

feifeicms后台任意文件读取

feifeicms 4.0 几处任意文件删除

任意文件读取

代码审计：ourphp 后台任意文件读取复现

Confluence任意文件读取

MYSQl任意文件读取

GlassFish 任意文件读取

任意文件下载(读取)

梦想cms v1.4 后台存在任意文件读取漏洞

[PHP代码审计]记一次后台任意文件读取&删除的审计

Resin任意文件读取漏洞

Atlassian Confluence任意文件读取漏洞

任意文件读取下载漏洞

Windows任意文件读取漏洞

Jenkins 任意文件读取漏洞分析

任意文件读取/下载漏洞

metinfo 6.0 任意文件读取漏洞

php协议任意文件读取

springMVC 任意文件读取相关路径

任意文件读取与下载漏洞

VAuditDemo-任意文件读取

ffmpeg 任意文件读取漏洞环境

GlassFish 任意文件读取漏洞

windows 任意文件读取漏洞复现

Vmware Vcenter 任意文件读取漏洞

VMware vCenter任意文件读取漏洞

任意文件读取及删除漏洞

任意文件读取与下载漏洞学习

GlassFish 任意文件读取复现

任意文件读取/下载漏洞总结

今日推荐

Apache Doris 2.0.10 版本正式发布！

开源日报 | 大模型开战；大模型独角兽被曝卖身；周鸿祎建议谷歌开源所有产品；最大开源AI社区提供1000万美元共享GPU

开源日报 | Chrome内置Gemini的意义不在于Gemini；中国AI追随之路的五大误区；ECharts创始人“下海”养鱼；谷歌I/O开发者大会什么都有，只是没有惊喜

微软回应中国区AI团队“打包赴美”传闻

基于大语言模型的开源知识库问答系统 MaxKB GitHub Star 数量突破 5,000 个！

美国拟限制 AI 大模型出口中国和俄罗斯

苹果将与 OpenAI 达成协议，将 ChatGPT 应用于 iPhone

周排行

阿里云短信服务平台注册

Windows下的字符串处理(1)

sqoop: mysql导入数据到hdfs, hive, hbase

commons.lang中常用的工具类

离线安装PostgreSQL11.6

使用PyTorch简单实现卷积神经网络模型

一文彻底搞定谱聚类

一道面试题引发的血案

One Chat for Mac(聊天工具)

TCP/IP的底层队列是如何实现的？

每日归档

2024-05-17(34)

2024-05-16(6)

2024-05-15(24)

2024-05-14(0)

2024-05-13(18)

2024-05-12(0)

2024-05-11(38)

2024-05-10(38)

2024-05-09(35)

2024-05-08(42)