【渗透实战系列】xycms的一次漏洞挖掘

已于 2023-11-14 09:46:18 修改
阅读量966 收藏 8
点赞数 1
分类专栏: 渗透测试 文章标签: 安全漏洞
于 2023-10-13 09:56:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hellohahi/article/details/133803984
版权

一、前言

本次漏洞挖掘是用于记录某次实验中自建CMS靶场的漏洞挖掘情况。

二、信息收集

2.1 系统信息

目标URL:http://192.168.2.240:8007/
网站首页:
在这里插入图片描述通过Wappalyzer判断出目标主机如下组件信息:
PHP 5.2.17、IIS 6.0、Windows Server操作系统

2.2 网站后台

1.使用御剑目录扫描,发现一个/System/目录存在。
在这里插入图片描述经测试,发现为网站后台目录
在这里插入图片描述

三、漏洞记录

3.1 前台存储XSS

目标URL:http://192.168.2.240:8007/add_book.php
功能路径:在线留言->添加留言
1.通过在留言模块插入一段JS的alert弹框参数,成功弹出XSS弹窗。
在这里插入图片描述2.在gbook.php查看留言页面,直接弹出XSS弹窗。
在这里插入图片描述

3.2 前台SQL注入

目标URL:http://192.168.2.240:8007/showproducts.php?id=12

1.通过sqlmap测试showproducts.php页面的id传参存在SQL注入。注入类型如下:时间盲注、布尔报错注入、union联合注入
在这里插入图片描述2.构造如下payload,直接爆出数据库名。
http://192.168.2.240:8007/showproducts.php?id=-12%20union%20select%201,2,3,4,5,6,7,database(),9,10
在这里插入图片描述

3.3 后台弱密码

目标URL:http://192.168.2.240:8007/System/
admin:admin
1.网站后台存在弱密码,成功使用默认密码登录后台。(其实这里也可以通过前面的sql注入获取密码)
在这里插入图片描述

3.4 KindEditor编辑器列目录读取

目标URL:http://192.168.2.240:8007/System/xyeditor/php/file_manager_json.php?path=/

1.登录网站后台后,发现添加客户案例信息模块存在一个KindEditor编辑器,通过F12查看源码,读取出编辑器目录信息:http://192.168.2.240:8007/System/xyeditor/
在这里插入图片描述2.访问编辑器目录下的php/file_manager_json.php?path=/,爆出网站的绝对路径:C:\Inetpub\wwwroot\8007-Mysql注入
在这里插入图片描述在这里插入图片描述

3.5 IIS 6.0解析漏洞利用getshell

目标URL:http://192.168.2.240:8007/System/xyeditor/php/upload_json.php?dir=image

1.在添加客户案例信息模块尝试上传一句话木马,结果提示是不允许的扩展名。
在这里插入图片描述2.通过之前收集到的系统信息,了解到当前中间件为IIS 6.0版本,可以尝试利用一波解析漏洞,将一句话木马文件更名为shell.php;a.jpg
在这里插入图片描述3.成功上传,查看案例信息图片路径uploadfile/image/20231009/shell.php;a.jpg
在这里插入图片描述4.访问shell图片路径,通过hackbar进行post传参传入phpinfo()函数,成功执行。
在这里插入图片描述5.通过蚁剑webshell管理工具,成功连接和管理目标网站目录。
在这里插入图片描述在这里插入图片描述

山上的云朵
关注
专栏目录
XYCMS企业建站系统
08-16
XYCMS企业建站系统是以asp+access进行开发的企业建站系统。 网站功能: 安全性:防SQL注入,自动锁定入侵的IP地址,防XSS攻击,具有很好的过滤系统 功能简述: 企业信息管理:包括基本
xycms add_book.php sql注入漏洞1
08-03
漏洞简介:XYCMS原名为南京XYCMS企业建站系统,所设计的版本分为动态版和静态版。这里发现 reply_content 里面的参数没有进行任何过滤,直接po
xycms登录后台详细教程(php+mysql)
白帽小学二年级的博客
12-17 4612
xycms登录后台详细教程(php+mysql)
YxCMS 1.4.7 最新版漏洞分析
dfdhxb995397的博客
09-18 940
i春秋作家:F0rmat 原文来自:YxCMS 1.4.7 最新版漏洞分析 0x01前言 很感谢关注我专辑的表哥,我会坚持写下去的,最近会慢一点,一月四篇是正常的。 在先知看到的,大部分都是后台漏洞,部分厂商对于后台的漏洞都不认可,因为厂商觉得能进入后台这些漏洞都不是漏洞。最恐怖的是厂商否认了漏洞存在,然后偷偷的去修复。 0x02 安装程序 具体的安装和使用的详细可以...
漏洞复现-YXcms
aming小老弟
10-08 835
渗透
PHP代码审计——SQL注入漏洞(YXcms
W小哥
08-18 2445
一、漏洞描述 在处理删除内容时,传入的数据进行拼接赋值,整个数据传递过程仅对数组进行mysql_real_escape_string处理,导致SQL注入漏洞
xycms add_ad.php sql注入漏洞1
08-03
漏洞简介:XYCMS原名为南京XYCMS企业建站系统,所设计的版本分为动态版和静态版。这里发现 siteinfo 里面的参数没有进行任何过滤,直接post请求带
XYCMS留言版 7.9
04-30
XYCMS留言板是站长花近一个小时时间潜心编写的,现在免费放给大家使用了,由于制作仓促,还没有经过严格测试,后期我也会不断完善的,努力为广大用户服务。 XYCMS留言版 7.9 更新日志:2020-09-081.紧急修复...
xycms.rar_xycms
09-22
XYCMS是一款专为商业用途设计的网站内容管理系统,其核心在于提供高效、安全且易于操作的平台,帮助企业快速搭建个性化网站。本篇文章将深入探讨XYCMS的特性和使用方法,以帮助读者更好地理解和应用这款强大的系统。...
yxcms存储型XSS至getshell 漏洞复现
Boom!脑洞大爆炸的博客
06-28 2109
yxcms存储型XSS至getshell 漏洞复现
YXcms-含有任意文件删除漏洞的源码包.zip
03-17
YXcms-含有任意文件删除漏洞的源码包,亲测真实有效可靠,如有侵权,请联系CSDN管理员删除即可
yxcms弱口令至getshell 漏洞复现
Boom!脑洞大爆炸的博客
06-28 2172
yxcms弱口令至getshell 漏洞复现
XSS-YxCMS 1.4.7漏洞
抚琴
12-28 566
环境百度下就可以 进入网站留言板 http://192.168.107.131:1026index.php?r=default/column/index&col=guestbook payload:<svg/onload=alert(1)>
PHP代码审计——存储型XSS漏洞(YXcms
W小哥
08-19 1009
一、漏洞描述 在留言内容中,将数组和数据分别进行处理,输入字符时实体化存储到数据库中,查看数据时将数据进行还原处理,当管理员查看留言内容时,触发XSS 二、代码审计 通过GET方式获取参数col的值,之后处理留言的时候,调用case6的extend()方法 跟踪extend()方法,发现如果是数据,进行先后两次的in方法和deletehtml方法的数据处理操作,如果是字符串便丢进html_in方法进行处理。 首先查看deletehtml()方法,如果是<script[^>]?>.?替换
「白帽挖洞技能」YxCMS 1.4.7 漏洞分析
dfdhxb995397的博客
06-12 994
这几天有小伙伴留言给我们,想看一些关于后台的漏洞分析,今天i春秋选择YxCMS 1.4.7版本,理论内容结合实际案例进行深度分析,帮助大家提升挖洞技能。 注:篇幅较长,阅读用时约7分钟。 YXcms是基于PHP+MySql开发,采用CANPHP框架编写的,是一款高效、灵活、实用、免费的企业建站系统,它的设计理念是用最少的代码做更多的事情。 安装程序 具体的安装流程和...
会话固定攻击 - yxcms session固定漏洞
weixin_30699235的博客
10-15 271
目录 会话固定攻击 e.g. yxcms session固定攻击 分析 了解更多 会话固定攻击 Session fixation attack(会话固定攻击)是利用服务器的session不变机制,借他人之手获得认证和授权,然...
会话固定漏洞详解与YXcms会话固定漏洞复现
W小哥
05-21 1849
在日常的渗透测试工作中经常发现会话固定漏洞,但是由于实际危害较小,多数情况下并没有把该漏洞写进报告中 一、漏洞原理 漏洞的本质用一句话来说是把一个无效的或者说低权限的令牌提升为高权限的令牌,而这个令牌标识是攻击者可以控制的。利用漏洞攻击的整体流程。如下图。 攻击流程分为五个阶段: 1、攻击者请求 web 服务器生成会话令牌。(这一步不是必须的,因为有的服务器接受任意的会话令牌。) 2、web 服务器将令牌回复给攻击者。(这一步不是必须的,因为有的服务器接受任意的会话令牌。) 3、攻击者将与其当前令牌所关联
124.网络安全渗透测试—[CMS后台 getwebshell]—[xycms2.9后台 getwebshell]
qwsn
07-11 2167
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 登录后台---->系统设置---->网站名称后加上以下内容:蚁剑连接网站配置文件:http://www.xycms29.com:99/inc/config.asp (1)这种getwebshell的风险是很大的,插入出错会导致整个网站坏掉; (2)一般在asp里面,网站的配置文件就在/inc/config.asp里面; (3)配置内容不是插入数据库里面的,也不是从数据库里面读出来的,因此可以采用这种方法getwebshell: (
PHP代码审计——任意文件删除漏洞(YXcms
W小哥
08-20 1068
一、代码审计 删除文件的代码在del()方法,首先通过GET方式接收参数fname传递过来的的值,然后执行in()函数 跟踪in()函数,发现in函数接收过来的值分为两种情况:字符串、数组。对删除文件没有任何防止,可以不用管 htmlspecialchars():— 将特殊字符转换为 HTML 实体 trim():— 去除字符串首尾处的空白字符(或者其他字符) 返回查看del()函数,其中第二行 dirs=strreplace(′,′,′/′,dirs=str_replace(',','/',dirs=
xycms留言板存在逻辑缺陷漏洞
最新发布
09-09
xycms留言板存在逻辑缺陷漏洞的原因可能是在处理用户输入时没有进行足够的验证和过滤。这可能导致各种安全问题,例如SQL注入、跨站脚本攻击等。 首先,如果xycms留言板没有对用户输入进行严格过滤和验证,攻击者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值