当前位置: 首页 > news >正文

CVE-2022-25578 漏洞复现

news 2025/8/2 13:52:36

CVE-2022-25578

路由/admin/admin.php是后台,登录账号和密码默认是admin、tao,选择文件管理

image-20231019200832094

是否还记得文件上传中的.htaccess配置文件绕过发,在这个文件中加入一句AddType application/x-httpd-php .jpg,将所有jpg文件当作php文件解析。

image-20231019201249212

但是这里没有/pictures目录,本来应该在/pictures新建一个jpg文件,内容是一句话马。

image-20231019201709662

所以说这里是无法使用CVE-2022-25578来任意命令执行的。

我们等价替换一下,直接改了index.php的源码,内容换成一句话木马。

image-20231019202436142

http://www.lryc.cn/news/298604.html

相关文章:

  • Ubuntu22.04安装黑屏(进入U盘安装引导时 和 安装完成后)
  • 一、DataX简介
  • 直播app开发,技术驱动的实时互动新纪元
  • Apache POI的介绍以及使用示例
  • npm config set registry https://registry.npm.taobao.org 这个设置了默认的镜像源之后如何恢复默认的镜像源
  • 算法沉淀——位运算(leetcode真题剖析)
  • React18原理: 再聊Fiber架构下的时间分片
  • 【玩转408数据结构】线性表——线性表的顺序表示(顺序表)
  • 图像处理之《黑盒扰动的可逆噪声流鲁棒水印》论文阅读
  • 一个Vivado仿真问题的debug
  • C#阿里云消息列队推送消息
  • Stable Diffusion 模型下载:majicMIX sombre 麦橘唯美
  • WindowsLinuxmeterepreter渗透命令回顾
  • KingSCADA实现按钮点击效果
  • Python编程-二万字浅谈装饰器原理与装饰器设计模式和函数式编程案例讲解
  • 基于Zigbee的智能温室大棚系统(附详细使用教程+完整代码+原理图+完整课设报告)
  • 【Web】Redis未授权访问漏洞学习笔记
  • 【JAVA WEB】 css背景属性 圆角矩形的绘制
  • Docker-现代化应用部署的利器
  • 「优选算法」:山脉数组的峰顶索引
  • 网络安全红队基础建设与介绍
  • Java语法学习反射
  • 【MySQL】操作库 —— 库的操作 -- 详解
  • Rust安装——Win10
  • 【教学类-46-07】20240212立体春字1.0
  • Python语言例题集(003)
  • UE5 播放本地MP3、MP4
  • NLP_“预训练+微调大模型”模式和Prompt/Instruct模式的异同
  • 普通人应该如何使用GPT
  • pycharm像jupyter一样在控制台查看后台变量