宇宙主机交流论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

欧基零壹微头条IP归属甄别会员请立即修改密码
查看: 1770|回复: 17

[疑问] 根据日志查到PbootCMS程序有大漏洞

[复制链接]
发表于 2024-4-17 12:18:28 | 显示全部楼层 |阅读模式
贴不了代码,直接上图。



103.19.190.83 - - [16/Apr/2024:03:02:32 +0800] "GET /aasaa.php HTTP/1.1" 200 146 "-" "python-requests/2.31.0"


然后网站就被入侵了 留了好多木马文件。

我自己访问日志里面的URL时 提示404错误,因为里面有   
  1. {pboot:if}
复制代码
  这些符号,不知道是怎么访问的?
发表于 2024-4-17 12:27:17 | 显示全部楼层
本论坛只建政,不讨论技术相关话题。
发表于 2024-4-17 17:27:20 | 显示全部楼层
zxjlhsq 发表于 2024-4-17 00:58
兄弟发个截图看下,URL是怎么被编码的,外包说是修复了,我又无法重现这个BUG,不敢上线啊。 ...

大括号被编码为 %7B. 使用 urllib.request.urlopen 方法发送 url 可以不被编码, urllib是python原生的包, 很低层.

requests底层还使用了 urllib3, 它们全部都会将发出的url进行编码, 光hook requests还不够, 你还需要hook urllib3, 所以直接用 urllib 别纠结 requests 是怎么编码的了

既然外包说修复了那就算了吧, 你问问这个漏洞是谁的锅
 楼主| 发表于 2024-4-17 12:20:58 | 显示全部楼层
我自己访问后,日志里面记录是
  1. /%7Bpboot:if((/x22file_put_co/x22
复制代码
     %7B  和  { 不一样啊?
发表于 2024-4-17 13:34:52 | 显示全部楼层
zxjlhsq 发表于 2024-4-16 20:20
我自己访问后,日志里面记录是      %7B  和  { 不一样啊?

我也发不了代码, 你的url参数被编码了, 用 urllib 发送请求
发表于 2024-4-17 13:36:16 | 显示全部楼层
larry 发表于 2024-4-17 12:27
本论坛只建政,不讨论技术相关话题。

搞反了吧
发表于 2024-4-17 13:39:20 | 显示全部楼层
谢谢,已经更换了,有没有别的适合做公司门户网站的主题
 楼主| 发表于 2024-4-17 16:58:06 | 显示全部楼层
Mr.lin 发表于 2024-4-17 13:34
我也发不了代码, 你的url参数被编码了, 用 urllib 发送请求

兄弟发个截图看下,URL是怎么被编码的,外包说是修复了,我又无法重现这个BUG,不敢上线啊。
发表于 2024-4-17 17:07:19 来自手机 | 显示全部楼层
larry 发表于 2024-4-17 12:27
本论坛只建政,不讨论技术相关话题。

说的对
发表于 2024-4-17 17:09:05 | 显示全部楼层
这种程序,不要为好,补不完的
发表于 2024-4-17 17:11:27 | 显示全部楼层
mouzhai 发表于 2024-4-17 13:39
谢谢,已经更换了,有没有别的适合做公司门户网站的主题

做好安全策略,用啥都一样
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|宇宙主机交流论坛

GMT+8, 2024-10-31 13:31 , Processed in 0.062021 second(s), 9 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表