phpecms1.3 cookies欺骗漏洞进后台
phpecms1.3 cookies欺骗漏洞进后台
首页 > web安全 > 代码审计    作者:webbaozi   2016年11月11日 22:24 星期五   热度:1095°   百度已收录  
时间:2016-11-11 22:24   热度:1095° 

phpecms1.3/admin/cms_check.php


<?php
        if(!isset($_COOKIE['admin_name'])){
                alert_href('非法登录','cms_login.php');
        };
?>
判断如果没有admin_name的cookie就跳登录页面,如果admin_name就不跳了。

phpecms1.3/admin/cms_welcome.php

<?php
include('../system/inc.php');
include('cms_check.php'); 
 
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<?php include('inc_head.php') ?>
</head>
<body>
<?php include('inc_header.php') ?>
<div id="content">
        <div class="container">
                <div class="line-big">
                        <?php include('inc_left.php') ?>
                        <div class="xx105">
                                <div class="hd-1">使用声明</div>
                                <div class="bd-1">
                                <p>一、遵守中中华人民共和国相关法律,合法使用。</p>
                                <p>二、此程序为免费版,无使用时间限制。</p>
                                <p>三、商业使用建议使用收费版,获取更多功能和技术服务。</p>
                                <p class="fb color-red">免费版和收费版的主要差异</p>
                                <p>一、支持手机版</p>
                                <p>二、多套模板后后台切换</p>
                                <p>三、更多的频道类型和详情类型选择</p>
                                <p>四、支持伪静态</p>
                                <p>四、咨询QQ:<a href="http://wpa.qq.com/msgrd?v=3&uin=5474131&site=qq&menu=yes">5474131</a> 电话:13400472755 网址:<a href="http://www.pcfinal.cn" target="_blank">[url=http://www.pcfinal.cn]www.pcfinal.cn[/url]</a></p>
                                </div>
                        </div>
                </div>
        </div>
</div>
<?php include('inc_footer.php') ?>
</body>
</html>

直接包含 过去  没有进行任何 判断
127.1.1.1/phpecms1.3/admin/cms_welcome.php

1
设置cookie
2
3
成功进入后台

二维码加载中...
本文作者:webbaozi      文章标题: phpecms1.3 cookies欺骗漏洞进后台
本文地址:http://www.webbaozi.com/dmsj/3.html
版权声明:若无注明,本文皆为“baozi|学与用”原创,转载请保留文章出处。

返回顶部    首页    手机版本   
版权所有:baozi|学与用    站长: webbaozi  蜀ICP备16032848号-1