专栏名称: 白帽子左一
零基础也能学渗透!关注我,跟我一启开启渗透测试工程师成长计划.专注分享网络安全知识技能.
今天看啥  ›  专栏  ›  白帽子左一

靶场上新:showdoc前台SQL注入+后台Phar反序列化

白帽子左一  · 公众号  ·  · 2024-06-27 12:00

文章预览

扫码领资料 获网安教程 本文由掌控安全学院 -   江月 投稿 来 Track安全社区投稿~   千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 封神台新 上线漏洞复现靶场: showdoc < =3.2.5 前台SQL注入+后台Phar反序列化 漏洞详情 : ShowDoc是一个非常适合IT团队的在线API文档、技术文档工具。通过 showdoc ,你可以方便地使用markdown语法来书写出美观的API文档、数据字典文档、技术文档、在线excel文档等。 可以很方便地进行项目文档的权限管理和团队协作,也可以分享文档出去给朋友查看。 ShowDoc 3.2.5之前版本存在sql注入漏洞,未授权的攻击者可利用该漏洞获取管理员token进入后台,进而结合Phar反序列化漏洞写入WebShell,获取服务器权限。 靶场链接 : https://hack.zkaq.cn/battle/target?id=f1d5f94df34ea9f8 PS:该靶场目前还没有WP,在社区提交WP可获得金币奖励哦~ 申明:本公众号 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览