php模板注入漏洞,74CMS前台模板引擎注入漏洞漏洞复现

最新推荐文章于 2022-09-25 18:43:59 发布
最新推荐文章于 2022-09-25 18:43:59 发布
阅读量537 收藏
点赞数
文章标签: php模板注入漏洞
74CMS近日曝出高危模板注入漏洞,攻击者通过注册会员并上传恶意简历,可控制网站服务器。该漏洞由于74CMS允许上传docx格式简历,使得攻击者能上传包含PHP代码的文件,执行任意操作。利用该漏洞,不法分子可能获取服务器权限,对网站安全构成严重威胁。修复此漏洞至关重要,以防止敏感信息泄露。
摘要由CSDN通过智能技术生成

74CMS 曝高危漏洞,攻击者只需注册会员账号,上传一份包含恶意内容的简历,即可控制网站服务器,进行任意操作。

ba832920d650

漏洞复现.jpg

74CMS 又称 “骑士 CMS ”,是一项以 PHP 和 MySQL 为核心开发的一套免费并开源的专业人才网站系统。软件具有执行效率高、模板自由切换、后台管理功能方便等诸多优秀特点。74CMS 多应用于大型人才招聘网站,网站中通常会含有大量会员个人简历等私密信息,因此,该漏洞一旦被不法分子利用将产生极为严重的后果。

漏洞原理:

通过对 74CMS 最新版本进行源码分析,发现此漏洞是一个模板注入漏洞。 在文件 Application/Home/Controller/MController.class.php 中:

ba832920d650

MController.class.php

可见,这里将 $type 参数传入 display 函数,display 函数是 ThinkPHP 中展示模板的函数。跟进了几个函数,进入了 View 类的 display 函数:

ba832920d650

View 类

可见,这里拿到了 $templateFile 并传入 fetch 函数,将 fetch 的结果交给 render 函数。这两个函数,fetch 是将文件内容获取到,render 是使用 ThinkPHP 的模板引擎渲染。

拿自带的 favicon.ico 做下试验,可成功包含:

ba832920d650

e.jpg

漏洞利用:

那么,这个漏洞如何利用?因为 type 的值是作为 display 函数的参数传入的,所以实际上这个漏洞可以理解为 “模板引擎注入”,现在只需要上传一个内容符合 ThinkPHP 模板格式的文件,再作为 type 的值即可。

查看 ThinkPHP 文档:

ba832920d650

favicon.ico

可知,要使用原生 PHP 的话,只需要将代码包含在 标签内即可。

74CMS 里,个人用户创建简历后支持上传 docx 格式的简历。我们上传一个包含一句话木马的 docx 文件,将其作为模板。数据包如下:

ba832920d650

数据包

pid 是简历 id,word_resume 就是包含模板的文件。上传成功,获取文件名和路径:

ba832920d650

回显数据包

再将这个文件名作为 type 的值,成功执行一句话木马,CKnife(网站管理工具)连接,获取服务器权限:

ba832920d650

远控

石蒜科葱属草本
关注
黑客必杀技能之一,彻底掌握SSTI模板注入漏洞使用方法,如何构造有效载荷?利用攻击载荷达成CTF漏洞静态打桩获取敏感信息远程执行代码,攻击案例实战包括海洋cms74cms,ofcms
代码讲故事
12-29 1010
黑客必杀技能之一,彻底掌握SSTI模板注入漏洞使用方法,如何构造有效载荷?利用攻击载荷达成CTF漏洞静态打桩获取敏感信息远程执行代码,攻击案例实战包括海洋cms74cms,ofcms等。 漏洞成因就是服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了用户插入的可以破坏模板的语句,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。其影响范围主要取决于模版引擎的复杂性。
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 5529
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
php 沙箱逃逸,PHP Smarty模版代码注入漏洞(CVE-2021-26120)
weixin_42317626的博客
03-28 1145
0x00漏洞概述CVE IDCVE-2021-26120时 间2021-02-26类 型代码注入等 级高危远程利用是影响范围PHP Smarty < 3.1.390x01漏洞详情Smarty是通过PHP开发的模板引擎,它分开了PHP逻辑代码与外观(HTML页)以便于管理。近日,PHP Smarty被披露存在2个PHP代码注入漏洞(CVE-2021-26120和CVE-2021-...
PHP框架漏洞
admin的博客
10-15 3019
来自XCTF的php_rce.(RCE就是远程入侵检测,包括代码注入和命令执行漏洞) 很奇特的一个页面。我们知道ThinkPHP V5是一个PHP框架,于是我们到github上寻找这个框架的漏洞,这是一个很好的思路点,上github上找框架的漏洞。 那这么多漏洞我们选择哪个呢?我们看到了熟悉的system和phpinfo这两条。system对我们很有用,后面哪个vars[1][]=命令。 例如我们执行: phpinfo()http://111.200.241.244:55994/?s...
php模板注入漏洞,php的Smarty服务端模板注入,允许远程执行命令
weixin_33600376的博客
04-15 482
1、漏洞简介我在Unikrn的服务器上发现了一个漏洞:可以允许我执行‘file_get_contents ’函数,并且读取/etc/passwd文件的内容。2、漏洞具体描述这个服务器看起来后台使用的是php的smarty模板,当在用户选项中的firstname, lastname或者nickname中输入一个恶意的payload,然后邀请一个用户来加入这个网站,然后就会导致代码被执行。Smarty...
74cms漏洞分析
aihuochou9723的博客
08-14 4354
很早以前的一个洞,看到很有意思就拿来看看 这是雨曾经审过的一个洞,因为读取方式很特别复现了一下 upload\plus\weixin.php public function responseMsg() { if(!$this->checkSignature()) { exit(); } $postStr =...
php模板注入漏洞,「代码审计」某JA网站内容管理系统模板注入漏洞
weixin_42299775的博客
04-15 143
0x00前言一直对模板注入漏洞懵懵懂懂,直到最近在某gayhub上瞎逛碰到一个cms,再一番操作之后找到了一个前台getshell的漏洞。由于相关要求,这里隐去这个cms的全称,就分享漏洞发掘的思路。0x01 代码审计我们全局搜索eval(可以发现有一个地方使用了eval,可以大胆猜测这个模板引擎是使用eval去实现。我们跟进ii_eval()函数。可以见到函数的$strers可控,我们继续跟进i...
CMS Made Simple (CMSMS) 前台代码执行漏洞 CVE-2021-26120.md
最新发布
04-08
POC中定义了几个关键函数用于与CMSMS服务器交互,例如login函数用于登录CMS后台,trigger_or_patch_ssti用于触发服务端模板注入漏洞,而determine_bool用于检测漏洞是否被成功利用。 POC代码执行后,通过网络请求...
PbootCms-3.04前台RCE挖掘过程1
08-03
通过对PbootCms-3.04版本中RCE漏洞的挖掘过程进行详细分析,可以看出开发者在设计模板引擎时对安全性的考虑不足,导致了远程代码执行漏洞的存在。攻击者可通过构造特定的payload绕过正则表达式的限制,最终实现任意...
Dedecms 前端RCE分析
include_voidmain的博客
03-10 670
Dedecms 前端RCE分析
74CMS模版注入漏洞复现
sGanYu
04-15 1743
骑士cms人才系统,是一项基于php+mysql为核心开发的一套免费+开源业人才软件系统。软件具执行效率高、模板自由切换、后台管理功能方便等诸多优秀特点。全部代码都为骑士网络原创,有着完全的知识产权。凭借骑士网络的不断创新精神和认真的工作态度,骑士人才系统已成国内同类软件中的最好用的人才系统。 该漏洞影响版本: CMS < 6.0.48 漏洞复现 url: http://目标IP地址/index.php?m=home&a=assign_resume_tpl 以post方.
PHP模板注入(Smarty模板
热门推荐
qq_45521281的博客
07-24 1万+
Smarty是一个PHP模板引擎,提供让程序逻辑与页面显示(HTML/CSS)代码分离的功能。对于该框架的SSTI漏洞很多文章往往只是一笔带过,讲解的重心往往在flask等框架上。本篇文章结合一道CTF题目对Smarty的SSTI漏洞进行了一定的分析。题目地址:https://buuoj.cn/challenges CISCN2019华东南赛区Web11 基本信息 题目模拟了一个获取IP的API,并且可以在最下方看到“Build With Smarty !”可以确定页面使用的是Smarty模板引擎。 题
74cms 5.0.1版本文件包含漏洞复现
ANYOUZHEN的博客
06-04 640
漏洞成因:由于74CMS 某些函数存在过滤不严格,攻击者通过构造恶意请求,配合文件包含漏洞可在无需登录的情况下执行任意代码,控制服务器。下载地址: 下载后解压到phpstudy的根目录www里面输入网址,http://127.0.0.1/upload/install.php一直点击下一步,输入数据库名称和密码进入系统抓个包看看将包中的domain后面的改成 base64里面的是phpinfo经过base64编码后得到的,使用bp上面的编码模块decode 然后我们点击send进行发包,看到返回后stat
java 远程执行linux命令_Pikachu-RCE远程命令执行漏洞
weixin_39597323的博客
11-19 360
RCE:远程代码、命令执行漏洞给攻击者向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。远程系统命令执行一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口,比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。 如...
74cms 6.0.20版本文件包含漏洞复现
crowsec
06-08 1661
01 漏洞描述 参考资料: https://xz.aliyun.com/t/8021 由于74CMS 某些函数存在过滤不严格,攻击者通过构造恶意请求,配合文件包含漏洞可在无需登录的情况下执行任意代码,控制服务器。 下载地址: http://www.74cms.com/download/index.html 注意: 骑士cms不支持php7.x,复现php环境为php5.x即可 版本低于6.0.48 本文复现版本: 74c...
python模板注入与upload前端检测漏洞
qq_53099802的博客
05-10 587
python_tamplate_injection和绕过JS检测
骑士CMS01 74cms v4.2.111 后台getshell漏洞复现
m0_63253040的博客
09-25 3218
先进入网站后台/index.php?然后访问/Application/Home/Conf/config.php。猜测账号就是admin了,貌似这里登录会验证,试试能不能爆破密码。输入账号aaa回显管理员账号不存在,试试admin。进入后台找到工具=>风格模板=>可用模板,抓包。302跳转登录成功密码就是admin。拉到最下面查看网站cms版本。修改tpl_dir的值为。蚁剑连接找到flag。
74CMS漏洞复现
小小猪的博客
12-01 4264
74CMS漏洞复现 漏洞描述: 由于74CMS 某些函数存在过滤不严格,攻击者通过构造恶意请求,配合文件包含漏洞可在无需登录的情况下执行任意代码,控制服务器。 影响范围: 74CMS_v5.0.1 版本低于6.0.48 环境复现: 这里采用安鸾渗透实战平台的靶机 地址 漏洞复现: 访问http://www.whalwl.site:8019/index.php?m=home&a=assign_resume_tpl发现报错 访问 www.whalwl.site:8019/in..
php任意代码执行漏洞浅析
Hydra的博客
11-20 6960
漏洞成因  当应用在调用一些能将字符转化为代码的函数(如PHP中的eval,assert)时,没有考虑用户是否能控制这个字符串,这就会造成代码执行漏洞。 常见函数 php:eval,assert python:exec 区别 eval与assert区别 eval函数中参数是字符,如: eval('echo 1;'); assert函数中参数为表达式 (或者为函数),如: ...
PHP168 SQL注入漏洞分析与利用
"php168sql注入漏洞描述了一个特定版本的php168存在SQL注入安全问题,允许攻击者通过这个漏洞获取数据库的相关信息。这个问题通常发生在应用未能正确过滤或验证用户输入的情况下,使得恶意用户可以构造特殊的SQL查询...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值