Share
## https://sploitus.com/exploit?id=89CCE360-7C57-56A1-A97A-E68CA2174704
# CVE-2023-6654

PHPEMS Cookie反序列化漏洞,利用此漏洞可以通过反序列化修改SQL语句,通过SQL注入修改任意存在用户的密码或权限,默认管理员账号为peadmin

## Fofa指纹

# app="PHPEMS"

## 工具利用

`python exp.py -u http://127.0.0.1:1111`

`-u 参数指定PHPEMS的URL地址`

`-a 参数指定用户名,默认为PHPEMS默认管理员账号peadmin`

`-p 参数指定要修改的密码,默认为123456`

`-o 参数指定选项,0选项修改指定账号的密码,1选项修改指定账号的权限为管理员,默认修改指定账号的密码,不过还是推荐1选项`

exp:
![](exp.png)

## 免责声明

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。