任意文件下载:
代码审计:
通过定位file_get_contents()函数:
找寻有可控变量的文件:
后台文件/n5y4um/admin_safe.php,代码94行。
漏洞复现:
进入后台这个页面:
XSS:
因为已经登入后台,所以找存储型的XSS,在扩展中添加广告,友情链接这些地方进行尝试:
直接修改海洋cms名称,拼接js,
存储型XSS: 前台页面:
CSRF:
尝试添加系统管理员:
构造poc: 在另一浏览器打开:
任意文件删除
代码审计:
网页打开admin_template.php,添加参数action=del&filedir=../templets/default/html/../../../test.php。设置打开这个网页就进行自动断点。在 admin_template.php进行跟踪:
未对删除目录路径进行严格的过滤,会存在路径穿越进行删除任意文件。
漏洞复现:
在后台模板页面
点击下一级目录。 自己在根目录添加一个test.php文件,将最后的文件名改为根目录下自己创建的文件路径。
发现根目录下自己设置的test.php文件删除成功。说明存在任意文件删除漏洞。
页面上显示的内容为根目录下的文件。会返回抓包修改的的路径。
命令执行:
在后台百度推送页面:
进入这个文件查看: 向上查看这两个参数:打开/data/admin/ping.php文件:
打开/data/admin/ping.php文件:
所以页面中插入一句话木马:";eval($_REQUEST[6]);//
查看文件中代码:
访问这个页面:
连接蚁剑即可。
命令执行2:
在后台用户-->会员消息通知:
成功保存之后:
去文件中查看出现的问题:
再次尝试 ";eval($_REQUEST[6]);// :
木马上传成功:
访问这个文件:
SQL注入:
代码审计
在/后台文件夹/admin_comment_news.php文件。
追踪这两个函数:
未发现进行过滤,存在SQL注入。