帝国cms简介:
《帝国网站管理系统》英文译为"Empire CMS",简称"Ecms",它是基于B/S结构,且功能强大,帝国CMS-logo易用的网站管理系统。系统由帝国开发工作组独立开发,是一个经过完善设计的适用于Linux/windows/Unix等环境下高效的网站解决方案。
这次我们将给出此系统中的两个漏洞,对漏洞原理进行分析,并将漏洞复现。
一、后台数据库备份处存在代码执行漏洞
漏洞简介:
在后台备份数据库时,未对数据库表名做验证,通过修改数据库表名可以实现任意代码执行。
漏洞影响版本:
Empire CMS <= V7.5
环境搭建:
1、本次实验的漏洞环境为Empire CMSV7.5版本,在网上直接下载帝国cmsV7.5版本即可。将下载的帝国cms文件的upload目录直接粘贴到phpstudy的www目录下
2、然后启动phpstudy,访问路径http://192.168.163.139/upload/e/install/index.php,进行安装帝国cms。