finecms aip.php漏洞,finecms 最新版v2.3.3前台getshell

最新推荐文章于 2021-08-05 14:38:45 发布
最新推荐文章于 2021-08-05 14:38:45 发布
阅读量160 收藏
点赞数
文章标签: finecms aip.php漏洞

还是头像上传的地方,官方认为自己已经修复的很干净了,在我看来还是一点用处都没有。

不过demo站直接把头像上传的功能给阉割了,正常头像都没法上传了,所以我就不在demo上测试了,下载最新的v2.3.3,本地测试。

版本号:

843c2558d5d804511444bc05f948ddd4.png

看到头像上传的代码:

[php]

public function upload() {

if (!isset($GLOBALS['HTTP_RAW_POST_DATA'])) {

exit('环境不支持');

}

// 创建图片存储文件夹

$dir = FCPATH.'member/uploadfile/member/'.$this->uid.'/';

if (!file_exists($dir)) {

mkdir($dir, 0777, true);

}

// 创建图片存储的临时文件夹

$temp = FCPATH.'cache/attach/'.md5(uniqid().rand(0, 9999)).'/';

if (!file_exists($temp)) {

mkdir($temp, 0777);

}

$filename = $temp.'avatar.zip'; // 存储flashpost图片

file_put_contents($filename, $GLOBALS['HTTP_RAW_POST_DATA']);

// 解压缩文件

$this->load->library('Pclzip');

$this->pclzip->PclFile($filename);

if ($this->pclzip->extract(PCLZIP_OPT_PATH, $temp, PCLZIP_OPT_REPLACE_NEWER) == 0) {

@dr_dir_delete($temp);

exit($this->pclzip->zip(true));

}

@unlink($filename);

// 限制文件名称

$avatararr = array('45x45.jpg', '90x90.jpg', '180x180.jpg');

// 删除多余目录

$files = glob($temp.'*');

foreach($files as $_files) {

if (is_dir($_files)) {

dr_dir_delete($_files);

}

if (!in_array(basename($_files), $avatararr)) {

@unlink($_files);

}

}

// 判断文件安全,删除压缩包和非jpg图片

if($handle = opendir($temp)) {

while (false !== ($file = readdir($handle))) {

if ($file !== '.' && $file !== '..') {

if (!in_array($file, $avatararr)) {

@unlink($temp.$file);

} else {

$info = @getimagesize($temp.$file);

if (!$info || $info[2] !=2) {

@unlink($temp.$file);

} else {

copy($temp.$file, $dir.$file);

@unlink($temp.$file);

}

}

}

}

closedir($handle);

}

@rmdir($temp);

[/php]

我曾经用的一个方法是,构造一个部分出错的压缩包,在解压时出现错误,导致exit,但已有部分文件已解压成功,这样就能不被后面的unlink删除。另一个方法是竞争型,再php没来得及删除我们解压出来的文件时,先访问它,让它生成一个shell。

我们看finecms里是怎么修复的:

1.用一个随机目录来保存图片,这样就算我成功解压出来,猜不到目录名也访问不了,也无法产生竞争:

[php]

$temp = FCPATH.'cache/attach/'.md5(uniqid().rand(0, 9999)).'/';

[/php]

2.删除以后再exit出去,这样就算出错,也会删除残留的文件后再退出:

[php]

if ($this->pclzip->extract(PCLZIP_OPT_PATH, $temp, PCLZIP_OPT_REPLACE_NEWER) == 0) {

@dr_dir_delete($temp);

exit($this->pclzip->zip(true));

}

[/php]

看似已经万无一失。

但finecms没想到的是,我们可以构造一个“特别”的压缩包,这个压缩包里我的shell的文件名是“../../../shell.php”,这时我们就能够把shell直接解压到根目录下,我不用猜测目录名,不用惧怕被删除,直接拿下shell。

那么,请看我怎么构造这个压缩包。

漏洞证明:

先把自己的shell改名字成aaaaaaaaaaaaaaaaaaaa.php

之所以起这个名字,就是预留一些空间,方便我之后将文件名改成../../../aaaaaaaaaaa.php而不用怕字符串长度不对。

把文件直接打包成zip,用notepad++打开:

32713e7ff97138322cf668fb591bb79d.png

将我画框的俩文件名的前9个字符改成../../../

6325fb3f2b8035f9c9f5b88cc6f51994.png

然后就大功告成。

注册用户,来到头像上传处,上传头像:

a5a1c0c91acb49995828353205c1a187.png

抓包将刚才构造的压缩包贴进去:

466a11e6aac23b748b3cd955ddb0ae2f.png

然后,网站根目录下就会有你的shell了:aaaaaaaaaaa.php

bb9874aeb7cfafe0d870a149e743d46b.png

weixin_39822184
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
FineCMS企业版 v2017.3.23
12-01
FineCMS企业网站管理系统(简称版或企业版)是一款基于PHP+MySql+CI框架开发的高效简洁的中小型内容管理系统,面向多终端包括Pc端网页和移动端网页,支持自定义内容模型和会员模型,并且可以自定义字段,可面向中小型站点提供重量级网站建设解决方案,适
finecms前台任意文件上传——getshell
W小哥
01-04 2091
漏洞代码分析请参考链接 https://bbs.ichunqiu.com/thread-23526-1-1.html?from=bkyl,我只是复现一下 漏洞复现 使用phpstudy搭建finecms,搭建成功后,登录管理员账户并手动注册一个会员
finecms相关信息-随时更新
weixin_33979363的博客
02-23 108
finecms的版本在config/version.ini.phpfinecms中后台的广告信息存在于main.html这个view中 finecms是基于MVC框架的一个CMS后台的view在view/admin文件夹下 后台的控制器在control/admin这个文件夹下 admin后台界面中菜单的内容存在于config/admin.menu....
finecms aip.php漏洞,FineCMS最新版5.0.8两处getshell(附python批量poc脚本)
weixin_36474966的博客
03-11 670
0x01 前言就要被**,美其名曰:比我的web安全研究和代码审计更有前途。当然是选择原谅他啦。先审计finecms去去火,找到六处漏洞,先放两处容易被发现的getshell和对应的两个python脚本0x02 getshell第一处getshell:在C:phpStudyWWWfinecmsdayruicontrollersApi.php中的data2函数,大约在第115行,有问题的代码大约在1...
FineCMS公益版 2.1.5
05-19
FineCMS公益版 2.1.5,能下载到的最新版,主要发现FineCMS公益版5,去掉了角色权限
finecms 5.0.8低版本前台任意文件上传-
一生无悔惜缘的博客
08-17 1350
前台头像上传的地方任意文件上传 public function upload() {       // 创建图片存储文件夹     $dir = SYS_UPLOAD_PATH.'/member/'.$this->uid.'/';     @dr_dir_delete($dir);     !is_dir($dir
FineCMS企业版 v2016.12.12
12-03
FineCMS企业网站管理系统(简称版或企业版)是一款基于PHP+MySql+CI框架开发的高效简洁的中小型内容管理系统,面向多终端包括Pc端网页和移动端网页,支持自定义内容模型和会员模型,并且可以自定义字段,可面向中...
FineCMS企业版 v2017.3.3
12-02
FineCMS企业网站管理系统(简称版或企业版)是一款基于PHP+MySql+CI框架开发的高效简洁的中小型内容管理系统,面向多终端包括Pc端网页和移动端网页,支持自定义内容模型和会员模型,并且可以自定义字段,可面向中...
finecms-含有前台文件上传漏洞源码包.zip
01-04
《细解FineCMS前台文件上传漏洞及其源码分析》 FineCMS是一款常见的开源内容管理系统,以其易用性和灵活性深受开发者喜爱。然而,如同其他软件一样,FineCMS也存在潜在的安全问题,其中最为突出的就是前台文件上传...
FineCMS公益版 v2.0.1
12-01
FineCMS公益版 v2.0.1】是一款专为中小型网站设计的高效简洁的内容管理系统,基于PHP编程语言和MySql数据库,同时采用CodeIgniter(CI)框架进行开发。这个版本是开源的,意在服务公益事业,提供了一个免费但功能...
POSCMS开源内容管理系统 finecms高级版 v3.2.0 bulid0918
10-09
PHP开源网站管理系统(PhpOpenSourceCMS,简称POSCMS)以开放、开源、灵活为产品理念,基于PHP+MYSQL+CI框架开发的开源Web内容管理系统,程序完美兼容PHP7,并在PHP7基础上做了性能优化,系统
FineCMS公益版整合2.2和5.0.8
07-06
最新的整合版本,2系列的最终版是2.2
FineCMS海豚大众版 v2.3.5
04-04
FineCMS v2(简称v2海豚CMS)是一款开源的跨平台网站内容管理系统,以“实用+好用”为基本产品理念,提供从内容发布、组织、传播、互动和数据挖掘的网站一体化解决方 案。系统基于CodeIgniter框架,具有良好扩展性和管理性,可以帮助您在各种操作系统与运行环境中搭建各种网站模型而不需要对复杂繁琐的编程语言 有太多的专业知识,系统采用UTF-8编码,采取(语言-代码-程序)两两分离的技术模式,全面使用了模板包与语言包结构,为用户的修改提供方便,网站内 容的每一个角落都可以在后台予以管理,是一套非常适合用做系统建站或者进行二次开发的程序核心,史上灵活性最强的CMS系统。 运行环境 1、PHP版本:Php5.2.6 ~ php5.5 2、服务器环境:Nginx、Apache等 3、数据库软件:mysql5.x 4、系统框架程序:Codeigniter 3.0 适合行业 1、CMS内容管理系统 2、B2C网店系统 3、B2B电子商务网站 4、分类信息网站 6、小说、杂志网站 7、视频播放、点播系统 8、旅游类等垂直型网站 9、地方门户系统 基于FineCMS系统的任何网站都支持地区分站、行业分站功能 多站点国际化 每个站点均属独立的系统,模板与语言相互独立、权限互相独立、操作互不影响,共享会员中心,单点同步登录注册等,结合站点语言包能创建出多语言版本的网站,支持站点独立数据库存储,支持站点静态页面同步至指定服务器,可轻松实现强大的负载均衡。 自定义模块、模型、表单 各个模块相互独立,支持域名绑定,支持按栏目进行权限划分,无限分表存储让模块的负载能力更高,超强的自定义模块和字段功能则把系统灵活度发挥到了极致,可以不用编程就实现各种信息发布和检索,系统内置了文章、组图、下载等内容模块。 自定义URL规则、自动生成伪静态 自 定义URL一直是FineCMS系统的一个亮点,能够DIY出各种格式的URL,并支持函数与自定义运用到标签中,增强了自定义URL的灵活性。在v2中 支持自动生成伪静态规则,无需用户动手写规则,系统能自动帮你把规则写好,真正的傻瓜式操作,一键生成规则,并且完美支持主流web服务器。 OAuth、Ucenter 内 置腾讯QQ、新浪微博、百度、网易、Google、搜狐等OAuth一键登录功能,发布文章、评论自动发微博分享,还集成手机短信接口API通过手机短信 验证更安全,同时会员支持与Ucenter完美整合,会员空间支持域名绑定,用它可以创建标准的个人网站或者企业网站。 v2.3.5更新内容如下: 优化数据量达到500万以上时的部分延迟 增加文章内容同模块的复制功能 增加邀请好友注册功能,自动关注邀请者 增加发布动态、邀请好友赠送虚拟币和经验值 增加会员互动微博功能 增加会员动态转发功能 增加粉丝与关注功能 增加任务队列时执行自动更新模块缓存(3小时更新一次) 增加自动缓存、定时缓存,优化缓存机制,修改配置后可不用更新缓存 模块字段(非栏目字段)支持同步其他站点 增强模块和应用的安全性下载检测 修复微信模块在绑定移动端域名时的BUG 取消模块内容描述字段的空格清除 会员管理列表增加自定义字段数据筛选 改进后台首页统计显示方式,增加发布快捷入口 改进会员中心的宽屏显示样式 优化模块修改部分 list表情增加空置的查询值判断和随机排序方式 增加list查询标签参数NOT来匹配“不等于”的查询 增加会员空间创建时的默认模板选择 增加对远程附件服务器的远程URL有效性验证 添加单页时继承上级单页部分属性 增加文章内容水印功能开关
FineCMS海豚大众版源码 v2.3.2
04-03
FineCMS v2(简称v2海豚CMS)是一款开源的跨平台网站内容管理系统,以“实用+好用”为基本产品理念,提供从内容发布、组织、传播、互动和数据挖掘的网站一体化解决方 案。系统基于CodeIgniter框架,具有良好扩展性和管理性,可以帮助您在各种操作系统与运行环境中搭建各种网站模型而不需要对复杂繁琐的编程语言 有太多的专业知识,系统采用UTF-8编码,采取(语言-代码-程序)两两分离的技术模式,全面使用了模板包与语言包结构,为用户的修改提供方便,网站内 容的每一个角落都可以在后台予以管理,是一套非常适合用做系统建站或者进行二次开发的程序核心,史上灵活性最强的CMS系统。 运行环境 1、PHP版本:Php5.2.6 ~ php5.5 2、服务器环境:Nginx、Apache等 3、数据库软件:mysql5.x 4、系统框架程序:Codeigniter 3.0 适合行业 1、CMS内容管理系统 2、B2C网店系统 3、B2B电子商务网站 4、分类信息网站 6、小说、杂志网站 7、视频播放、点播系统 8、旅游类等垂直型网站 9、地方门户系统 基于FineCMS系统的任何网站都支持地区分站、行业分站功能 多站点国际化 每个站点均属独立的系统,模板与语言相互独立、权限互相独立、操作互不影响,共享会员中心,单点同步登录注册等,结合站点语言包能创建出多语言版本的网站,支持站点独立数据库存储,支持站点静态页面同步至指定服务器,可轻松实现强大的负载均衡。 自定义模块、模型、表单 各个模块相互独立,支持域名绑定,支持按栏目进行权限划分,无限分表存储让模块的负载能力更高,超强的自定义模块和字段功能则把系统灵活度发挥到了极致,可以不用编程就实现各种信息发布和检索,系统内置了文章、组图、下载等内容模块。 自定义URL规则、自动生成伪静态 自 定义URL一直是FineCMS系统的一个亮点,能够DIY出各种格式的URL,并支持函数与自定义运用到标签中,增强了自定义URL的灵活性。在v2中 支持自动生成伪静态规则,无需用户动手写规则,系统能自动帮你把规则写好,真正的傻瓜式操作,一键生成规则,并且完美支持主流web服务器。 OAuth、Ucenter 内 置腾讯QQ、新浪微博、百度、网易、Google、搜狐等OAuth一键登录功能,发布文章、评论自动发微博分享,还集成手机短信接口API通过手机短信 验证更安全,同时会员支持与Ucenter完美整合,会员空间支持域名绑定,用它可以创建标准的个人网站或者企业网站。 v2.3.2更新内容如下: 修复百度编辑器在ie9以下浏览器不显示问题 增加网站导航选择模块或单页时的修改名称功能
FineCMS 海豚大众版v2.3.5
10-01
FineCMS 海豚大众版v2.3.5,看演示还是很不错的cms内容管理系统
finecmsV5.0.8 \finecms\dayrui\controllers\Api.php getshell
一生无悔惜缘的博客
08-17 1194
漏洞在C:\phpStudy\WWW\finecms\dayrui\controllers\Api.php中的data2函数,大约在第115行,有问题的代码大约在178行 public function data2() { $data = array(); // 来路认证 if (defined('SYS_REFERER') && strlen
Finecms 2.0版本文件上传漏洞分析
weixin_48421613的博客
09-11 1332
作者:vlan-911 日期:20200909 版本:v1.1 Finecms漏洞分析报告 概述: Finecms 2.0.1版本存在文件上传漏洞,此漏洞可导致动态脚本文件上传 漏洞影响范围:FineCMS 2.0.1 危害等级:高 漏洞描述: 在Finecms 2.0.1版本中,/controllers/AttachmentController.php中的ajaxswfuploadAction函数处,由于黑名单过滤不完全,导致远程攻击者可以提交其他例如后缀为phtml的后门文件。攻击者可以利用此漏洞获取目
finecms存在任意文件上传漏洞复现
炙热的酷盖
08-05 2796
因为自己淋过雨,所以不想别人湿鞋 漏洞环境:finecms公益软件 finecms 存在任意文件上传:MIME验证 fofa: title=“FineCMS公益软件” && country=“CN” 首先注册一个账号yy 上传一个真实图片 3. 打开burpsuite进行抓包和改包 4. 制作图片马  准备一个正常图片1.jpep  准备一个php一句话木马1.php  将1.jpep和1.php放入相同路径下  cmd命令进入路径输入命令:copy 1.jpeg/a +1
finecms aip.php漏洞,代码审计| FineCMS的GetShell姿势
weixin_42311115的博客
03-11 391
0x00 背景上周,发现了finecms的一些后台的洞,斗哥先从配置文件写入开始分析,然后再结合本篇的存储XSS进行GetShell,本篇分析下存储XSS的问题,最终通过这两类洞的组合利用GetShell,期待与师傅们的交流讨论。0x01 审计过程0x00 相关环境源码信息:FineCMS v5.3.0 bulid 20180206问题文件: \finecms\finecms\system\cor...
finecms逻辑漏洞
最新发布
06-06
FineCMS是一款开源的内容管理系统,它的逻辑漏洞可能会导致安全问题。以下是FineCMS常见的逻辑漏洞: ...总之,为了减少FineCMS的逻辑漏洞,建议及时更新最新版本,加强安全策略,进行安全测试和漏洞扫描。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值