设为首页收藏本站

 立即注册  找回密码
 立即注册
HS2V主机综合交流论坛»论坛 技术交流分享 Web技术 请教了下砖业人士PTCMS那个东西
CeraNetworksBGVM服务器主机交流会员请立即修改密码Sharktech防护
返回列表 发新帖
查看: 138|回复: 2

请教了下砖业人士PTCMS那个东西

[复制链接]

请教了下砖业人士PTCMS那个东西

[复制链接]
Globalization

49

主题

678

回帖

2447

积分

金牌会员

积分
2447
Globalization

49

主题

678

回帖

2447

积分

金牌会员

积分
2447
2018-4-20 11:06:12 | 显示全部楼层 |阅读模式
好像看到了个反序列化漏洞 调用了unserialize函数  如果传入的是构造过的序列化语句  应该可以任意代码执行 这个类里有个构造函数啊 没上下文 不敢确定是不是shell 看代码应该是 如果其他地方引入了这个类  然后传入的url不可控  然后url返回又是构造过的数据  就应该可以触发任意代码执行 这个函数可以做正常操作  也可以非法操作 有个substr  应该不是shell  就8位长度  应该也放不下个shell


所以我的解决方案是 用一台机器反代,然后源站仅允许反代机器访问。。

应该就没大问题了。
回复

使用道具 举报

Gh0st

8

主题

729

回帖

2401

积分

金牌会员

积分
2401
Gh0st

8

主题

729

回帖

2401

积分

金牌会员

积分
2401
2018-4-20 11:23:14 | 显示全部楼层
好,学习了。
不过我想看G奶
回复

使用道具 举报

ecosway598

209

主题

975

回帖

4058

积分

论坛元老

积分
4058
ecosway598

209

主题

975

回帖

4058

积分

论坛元老

积分
4058
2018-4-20 11:56:29 | 显示全部楼层

Gh0st 发表于 2018-4-20 11:23

好,学习了。
不过我想看G奶
有地址吗,大佬!
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|小黑屋|HS2V主机综合交流论坛

GMT+8, 2025-1-6 12:47 , Processed in 0.016060 second(s), 2 queries , Gzip On, Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表