Goal Reached Thanks to every supporter — we hit 100%!

Goal: 1000 CNY · Raised: 1000 CNY

100.0%
Buy Us a Coffee

CVE-2024-5458 PoC — PHP 安全漏洞

Source
https://github.com/justmexD8/CVE-2024-5458-POC
Associated Vulnerability
Title:PHP 安全漏洞 (CVE-2024-5458)
Description:PHP是一种在服务器端执行的脚本语言。 PHP存在安全漏洞,该漏洞源于代码逻辑错误,过滤函数验证URLs时,对于某些类型的URL,函数会错误地将包含用户名和密码部分的无效用户信息视为有效用户信息。以下版本受到影响:8.1至8.1.29之前版本,8.3至8.3.8之前版本,8.2至8.2.20之前版本。
Description
Filter bypass in filter_var
Readme
# CVE-2024-5458-POC
لإعداد كود HTML وكود PHP 

الخطوة 1: تثبيت XAMPP

قم بتنزيل XAMPP وتثبيته من الموقع الرسمي: https://www.apachefriends.org/index.html
اتبع تعليمات التثبيت لتثبيت XAMPP على جهاز الكمبيوتر الخاص بك.
الخطوة 2: إنشاء مجلد جديد لمشروعك

إنشاء مجلد جديد في htdocs دليل XAMPP، على سبيل المثال ،C:\xampp\htdocs\url-filter-bypass
سيحتوي هذا المجلد على ملفات HTML وPHP الخاصة بك.
الخطوة 3: إنشاء ملف HTML

افتح محرر نصوص (على سبيل المثال، Notepad++) وقم بإنشاء ملف جديد يسمىindex.html
انسخ الكود HTML الذي قدمته لك



احفظ الملف في url-filter-bypass المجلد.
الخطوة 4: إنشاء ملف PHP

افتح محرر نصوص (على سبيل المثال، Notepad++) وقم بإنشاء ملف جديد يسمى vulnerable.php
انسخ كود PHP الذي قدمته لك والصقه في الملف:



احفظ الملف في url-filter-bypass المجلد.
الخطوة 5: ابدأ تشغيل XAMPP وقم بالوصول إلى ملف HTML

ابدأ لوحة التحكم XAMPP وابدأ تشغيل خادم Apache.
افتح متصفح الويب وانتقل إلى http://localhost/url-filter-bypass/index.html
يجب أن ترى صفحة HTML مع النموذج.
الخطوة 6: اختبار الثغرة الأمنية

أدخل عنوان URL في حقل النموذج، على سبيل المثال ،http://example.com%00@malicious.com
انقر على زر "إرسال".
راقب سلوك المتصفح وعنوان URL في شريط العناوين.

لفهم الثغرة الامنية اكثر : https://github.com/php/php-src/security/advisories/GHSA-w8qr-v226-r27w
File Snapshot

 [4.0K]  /data/pocs/70be3f4e4c30b69f0fc0c952bdf3ed9f55dd6c24
├── [ 603]  index.html
├── [1.8K]  README.md
└── [ 160]  vulnerable.php

0 directories, 3 files
Shenlong Bot has cached this for you
Remarks
    1. It is advised to access via the original source first.
    2. If the original source is unavailable, please email f.jinxu#gmail.com for a local snapshot (replace # with @).
    3. Shenlong has snapshotted the POC code for you. To support long-term maintenance, please consider donating. Thank you for your support.