WeiPHP Notice/index接口处存在RCE

今天晚上早睡觉

已于 2024-03-13 21:21:37 修改

阅读量98

点赞数

CC 4.0 BY-SA版权

分类专栏：漏洞复现文章标签： web安全

于 2024-03-13 21:21:13 首次发布

本文链接：https://blog.csdn.net/weixin_43567873/article/details/136692010

漏洞复现专栏收录该内容

363 篇文章 ¥9.90 ¥99.00

订阅专栏

超级会员免费看

简介

WeiPHP是一款基于PHP开发的开源微信公众号开发框架。它提供了丰富的功能和易于使用的接口，使开发者能够快速构建和管理微信公众号应用。WeiPHP支持自定义菜单、消息管理、用户管理、素材管理、支付接口等功能，同时还提供了插件机制和模块化开发，方便扩展和定制。WeiPHP是一个成熟的框架，被广泛应用于微信公众号开发领域。

漏洞描述

WeiPHP Notice/index接口处存在远程代码执行漏洞，恶意攻击者可能会利用此漏洞执行恶意命令，可能会导致敏感信息泄露或者服务器失陷。

影响版本

WeiPHP
Fofa:

body="/css/weiphp.css" || title="weiphp" || title="weiphp4.0"

漏洞影响数量

2,247

了解本专栏

订阅专栏解锁全文

超级会员免费看

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

今天晚上早睡觉

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

订阅专栏

【漏洞复现】weiphp index.php 远程代码执行漏洞

qq_67810151的博客

03-12

709

weiphp5.0 存在远程代码执行漏洞，未授权的攻击者可以通过该漏洞进入远程代码执行，从而控制服务器。

WeiPHP 微信开发平台 SQL注入漏洞复现

0xSec

12-05

1170

weiphp微信开发平台 _send_by_group、wp_where、 get_package_template等接口处存在SQL注入漏洞，攻击者利用此漏洞可获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。

参与评论您还未登录，请先登录后发表或查看评论

WeiPHP Notice/index接口处存在RCE漏洞

Keepb1ue的博客

03-14

445

WeiPHP是一款基于PHP开发的开源微信公众号开发框架。它提供了丰富的功能和易于使用的接口，使开发者能够快速构建和管理微信公众号应用。WeiPHP支持自定义菜单、消息管理、用户管理、素材管理、支付接口等功能，同时还提供了插件机制和模块化开发，方便扩展和定制。WeiPHP是一个成熟的框架，被广泛应用于微信公众号开发领域。

攻防世界--weiphp

qq_46263951的博客

01-19

1651

这道题原本应该是通过.git源码泄漏获取到源码，利用工具githack，可能是环境的问题，执行完发现目录是空的直接从网上找源码，可能比源代码的内容要多一些 GitHub - weiphpdev/weiphp5.0: WeiPHP5.0，公众号与小程序结合的最佳开发框架,，它实现一个后台同时管理和运营多个客户端（公众号，微信小程序，后续将支持支付宝小程序，百度小程序等）进入后的页面为一个登陆框，将login改为register发现该功能被禁用了前台SQL注入由于这里对title参数并没有检.

访问index.php跳转,打开index.php后，跳转到/user/login.html

weixin_39771987的博客

03-22

9407

jeff2009-11-03 20:54:47注释后，产生这些错误：Notice: Undefined property: myRouter::$user in /data/zentaophp/app/pms/module/common/control.php on line 91Notice: Trying to get property of non-object in /data/zenta...

攻防世界-WEB-WEIPHP(记一次有趣的代码审计)

m0_52061428的博客

06-30

1304

其实很多时候,在面对一个站时,确认了站的特征(CMS,框架等等)就能够从github等平台上找到源码进行审计,从而发现问题并加以利用。

关于weiphp

wenqingzzz的专栏

05-07

584

1.http://www.weiphp.cn/ 最近看到了一个weiphp，这个是基于onethink的微信管理，更加类似于一个微信的帐号管理系统，使用起来十分的方便，是基于TP的。

weiphp看版本_安装WeiPHP

weixin_36212135的博客

01-14

186

>[info] 安装视频教程请看这里：>[info] [安装视频教程](http://v.qq.com/vplus/6ea5afa98685158967d5bd9617482a49/foldervideos/s0x000101o33b1c)WeiPHP安装比较简单，只需要按提示轻轻几步就可以完成。## 下载安装包我们的最新代码发布在码云的git上，如果后续有升级的，一般会在git更新，...

[代码审计]Weiphp5.0 前台文件任意读取分析

Y4tacker的博客

05-09

1416

文章目录前言分析前言最近一直在刷CNVD吧，大概两周刷了四页多，感觉自己水平也在见着长高，今天来分析一下Weiphp，毕竟也很久没写过博客了分析漏洞所在的函数为application/material/controller/Material.php下的_download_imgage函数，正好这是一个public方法，根据thinkphp的路由规则我们不难得到传参方式，这里直接先给出exp然后继续分析好吧 http://ddcms.top//public/index.php/material/Ma

weiphp微信公众平台框架 v3.0 正式版

12-10

weiphp是一个开源，高效，简洁的微信开发平台，它是基于oneThink这个简单而强大的内容管理框架实现的。

web安全开发，在线%简易版web渗透扫描器%系统，基于Idea,html,css,uniapp,jsp,java,ssm,maven,mysql

Strategic__的博客

08-12

295

这位某安朋友应该还没入门，基本的webtop10（owasp）漏洞如何检测还没掌握，虽然现在有现成工具来进行web漏洞检测，但是原理咱们还是要知道，因为后期咱们实战中遇到大部分都带waf,waf就算了关键waf还带着自主学习的功能，之前就遇好几家带人工智能的waf防火墙哈哈哈。代码原理咱们理解以后聊聊这几个漏洞，xss分三大类，反射，存储dom（其他扩展flask,pdf,uxss），怎么判断xss，最简单方式看下web提交参数会不会在网页显示，如果有咱们直接上payload测试就行。需要定制可以联系哦。

网络安全与软件定义汽车的发展

网络研究观

08-07

894

网络安全必须作为整个组织端到端的独立问题来处理。

网络安全和基础设施安全局 (CISA) 表示微分段不再是可选的

最新发布

网络研究观

08-13

494

通过分阶段的方法和合适的工具，组织现在就可以踏上一条清晰的道路，迈向全面、有效的零信任环境。

微软推出革命性AI安全工具Project IRE，重塑网络安全防御新范式

Bar_artist的博客

08-09

859

Project IRE AI代表了逆向工程领域的技术飞跃，它通过整合传统安全分析工具与前沿AI能力，构建了前所未有的恶意软件检测体系。作为微软安全生态系统的重要组成部分，Project IRE AI的推出象征着AI在网络安全领域的角色转变——从辅助工具升级为主动防御的核心力量，为自动化威胁检测设立了全新行业标准。Project IRE AI带来的不仅是技术升级，更是一场防御理念的革命：从被动响应到主动预防，AI正成为网络安全攻防战中最具决定性的战略要素。核心技术解析：AI驱动的逆向工程革命。

网络安全合规6--服务器安全检测和防御技术

2301_76981288的博客

08-13

342

结合网络层（防火墙）、应用层（IPS/WAF）、文件层（防篡改）构建纵深防护。（如WannaCry）：利用漏洞（SMB漏洞MS17-010）传播勒索软件。防止包括操作系统本身的漏洞，后门、木马、间谍、蠕虫软件以及恶意代码的攻击。实时阻断（IPS/WAF联动）、阈值自调节（DDoS防护）、误判快速处置。防火墙、IPS（入侵防御系统）、服务器保护、风险分析、网页防篡改技术。：字典攻击（常见密码组合）、规则攻击（基于用户信息猜测）。Web攻击（SQL注入、XSS、CSRF、暴力破解）。目的：服务器IP）。

2025网络准入控制系统的作用，保障企业网络安全的坚固防线

Synfuture的博客

08-13

136

在一个大型网络中，不同的用户和设备对网络资源的需求是不同的，而对于一些非关键的设备，如员工的个人手机，可以限制其网络访问速度，以保证网络资源的有效利用。网络准入控制系统可以对试图接入设备进行严格检查，以获取敏感信息，从而防止数据泄露和网络攻击的发生，系统可以限制其网络访问权限，降低网络被攻击的风险。在一些行业中，如金融、医疗等，对网络安全和数据保护有着严格的合规性要求，系统可以确保企业的网络环境符合相关的安全标准和法规要求。例如，在医疗行业中，网络准入控制系统可以严格的身份验证和安全检查。

【网络安全测试】OWASP ZAP web安全测试工具使用指导及常用配置（有关必回）

2501_92897788的博客

08-13

466

**HTTPS证书错误**：安装ZAP根证书（`Tools` > `Options` > `Dynamic SSL Certificates`）。| **CORS配置错误**| `Access-Control-Allow-Origin: *` | 限制可信域名 |- **扫描速度慢**：调整线程数（`Options` > `Scan` > `Max Scanners`）。1. 主界面点击 **`Quick Start`** > **`Automated Scan`**

PeiQi网络安全知识文库PeiQi-WIKI-Book保姆式搭建部署教程

star010-的博客

08-08

485

PeiQi文库是一个面向网络安全从业者的知识库，涵盖漏洞研究、代码审计、CTF等内容，旨在解决安全资料分散问题。部署需先安装Node.js和npm，然后通过yarn安装运行。项目文件约2G，可从Github或国内Gitee下载。启动后默认运行在8080端口，适合安全从业者学习参考和漏洞验证。部署过程中需注意yarn版本问题，必要时更新npm和Node.js。

利用 SD-WAN 技术优化机房运维与网络安全评估的最佳实践

AUROWAN的博客

08-10

634

摘要：SD-WAN技术为数字化转型中企业面临的机房运维复杂性和网络安全挑战提供了创新解决方案。通过智能流量优化、集中管理和内置安全功能，SD-WAN有效解决了分布式机房管理难、链路性能差、安全威胁多等痛点。实际项目应用表明，该技术可实现监控数据传输可靠、设备维护高效、数据备份安全，并大幅降低运维成本。SD-WAN与AI、云计算的结合将进一步拓展其在智能运维领域的发展前景。（149字）

weiphp 任意文件读取

03-14

接下来，我应该检查Weiphp框架中是否存在这样的问题。根据之前的知识，这类漏洞可能在文件下载或读取功能模块中出现，特别是当使用参数如`file`或`filename`时没有正确验证路径。例如，攻击者可能通过构造`../../etc...