简介
UCMS是一套使用PHP语言编写的内容管理系统。
漏洞概述
UCMS v1.4.8版本存在安全漏洞,该漏洞源于文件写的fopen()函数存在任意命令执行漏洞,攻击者可利用该漏洞可以通过该漏洞访问服务器。
影响版本
UCMS v1.4.8
测试环境
使用的是vulfocus平台自带镜像,直接开启,进入靶场环境,目录为/ucms
漏洞分析
在1.4.8版本中,下载源码进行分析
可以看到在fileedit.php中对上传的文件没有做任何过滤,导致任意文件上传漏洞
在index.php文件中可以看到参数do可以执行文件包含操作,我们包含fileedit.php,所以让?do=sadmin_fileedit
链接构造就是先do参数包含上传文件fileedit.php,必须带上目录,然后dir参数控制上传位置,file参数控制上传文件名字,co控制内容
漏洞复现
登录账号进入后台
构造参数,上传文件至当前目录,名字为1.php ?do=sadmin_fileedit&&dir=/&&file=1.php
可以看到上传的界面,写入PHP后门,抓包
蚁剑链接