设为首页收藏本站

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
全球主机交流论坛»论坛 技术交流分享 Web技术 请教了下砖业人士PTCMS那个东西
返回列表 发新帖
查看: 26|回复: 1

请教了下砖业人士PTCMS那个东西

[复制链接]
Globalization

290

主题

7485

回帖

1万

积分

论坛元老

积分
15920
发表于 2018-4-20 11:06:12 | 显示全部楼层 |阅读模式
好像看到了个反序列化漏洞 调用了unserialize函数  如果传入的是构造过的序列化语句  应该可以任意代码执行 这个类里有个构造函数啊 没上下文 不敢确定是不是shell 看代码应该是 如果其他地方引入了这个类  然后传入的url不可控  然后url返回又是构造过的数据  就应该可以触发任意代码执行 这个函数可以做正常操作  也可以非法操作 有个substr  应该不是shell  就8位长度  应该也放不下个shell


所以我的解决方案是 用一台机器反代,然后源站仅允许反代机器访问。。

应该就没大问题了。
回复

使用道具 举报

Gh0st

33

主题

2114

回帖

4383

积分

论坛元老

积分
4383
发表于 2018-4-20 11:23:14 | 显示全部楼层
好,学习了。
不过我想看G奶
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|Discuz! X

GMT+8, 2025-4-20 14:26 , Processed in 0.014029 second(s), 3 queries , Gzip On, Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表