蝉知CMS7.0.1后台模板Getshell

于 2022-09-26 18:53:50 发布
阅读量594 收藏 1
点赞数 1
分类专栏: 代码审计 文章标签: php 开发语言
原文链接:https://blog.csdn.net/wuguojiuai/article/details/117938968?spm=1001.2014.3001.5502
版权

 

目录

漏洞描述:

漏洞URL:

漏洞描述:

漏洞审计:

漏洞修复:

web安全学习了解: web渗透测试              
官网: 宣紫科技 

漏洞名称:蝉知CMS7.0.1后台模板Getshell

漏洞版本号V7.0.1

漏洞危害:高危

漏洞描述:

蝉知企业门户系统是由业内资深开发团队开发的一款专向企业营销使用的企业门户系统,企业使用蝉知系统可以非常方便地搭建一个专业的企业营销网站。

后台模板getshell。

漏洞URL:

http://www.czcms.cc/www/admin.php?m=ui&f=edittemplate

漏洞描述

首先登陆后台->设计->编辑模板

Burp改包

直接getshell

漏洞审计:

漏洞所在文件:\system\module\ui\control.php(在后台模板编辑)
漏洞文件代码:(只贴上相关代码)

首先我们看第788行,$template = $this->config->template->{$this->app->clientDevice}->name;这里代表获取他自己对象中的config属性中的template对象中的{$this->app->clientDevice}对象中的name属性,可以这样理解这里只是获取他的默认模块。我们看看第791行if($_POST)判断$_POST是不是上传,如果是则进入区间。第793行$canManage = array('result' => 'success');创建一个数组,if(!$this->loadModel('guarder')->verify()) $canManage = $this->loadModel('common')->verifyAdmin();这里可以看到if判断是否已经上传过他要求的目录,如果为true那么他就不会去调用验证区间直接跳到第795行。if($canManage['result'] != 'success')如果验证不通过他就会提示需要创建文件,就不会走下下面的区间。我们在看看第796行$result = $this->ui->writeViewFile($template, $this->post->module, $this->post->file);,这里一看就是进入其他区间的,我们追下这个方法在那个地方。

路径:system\module\ui\model.php.php

第1523行public function writeViewFile($template, $module, $file),public代表公共方法,第1525行$file = $this->getExtFile($template, $module, $file);,他这里又调用一次当前文件中的getExtFile方法。

这里可以看到他这里只是简单输出个路径,无视他。回到第二张图片,第1526行$filePath = dirname($file);,这里代表返回路径中的目录部分,第1527行,if(!is_dir($filePath)) mkdir($filePath, 0777, true);判断文件夹是否存在,如果不存在则创建文件夹并赋值777权限。第1528行和第1529行是定义一个数组,第1530行$content = str_replace($gibbedEvils, $evils, $this->post->content);,代表字符串替换,其实他这里写错了不应该这样写的,可以看到他这个$gibbedEvils数组把危险函数用空格来隔开,这样肯定不可以运行的,这个没有问题。那么我们在看看第二个数组$evils,这里的危险函数是可以直接运行的,但是呢,他字符串替换的时候把两个数组搞反了,这样就导致用户端直接上传木马。第1532行if(function_exists('get_magic_quotes_gpc') and get_magic_quotes_gpc()) $content = stripslashes($content);,第一个判断是判断他是否有这个自定义变量,并且get_magic_quotes_gpc()函数是否开启,如果这两个条件满足则使用stripslashes去掉反斜杠函数。第1533行就是写入文件了$result = file_put_contents($file, $content);。让我们在回到第一张图片。第797行if($result) $this->send(array('result' => 'success', 'message' => $this->lang->saveSuccess, 'locate' => inlink('editTemplate', "moduel=$module&file=$file")));,这里判断成功则提示个信息,如果不成功则返回失败信息$this->send(array('result' => 'fail', 'message' => $this->lang->fail));。

漏洞修复

路径:system\module\ui\model.php.php

在1524行下面添加个basename,返回路径中的文件名,然后在第1530行加2个值,第一个是过滤<?php,为啥说过滤<?php呢?因为如果你要运行php必须加上标准的不然真个php代码是运行不起来的。然后在使用strtolower函数,强制吧英文大写转换成小写在做处理,这样不管你是大小写来写的字我都过滤掉。

宣紫科技
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
蝉知企业门户系统 v7.0.1
10-13
蝉知企业门户系统是由业内资深开发团队开发的一款专向企业营销使用的企业门户系统,企业使用蝉知系统可以非常方便地搭建一个专业的企业营销网站,进行宣传,开展业务,服务客
蝉知官网模板一套,完整代码
01-22
蝉知系统的模板代码,用于企业建站,可以后台操作,可以二次开发,可以可视化操作
蝉知 路径index.php,蝉知CMS系统部署中的一些问题的解决方法
weixin_28788561的博客
03-24 630
本人所带的网页设计课,要求学生最后用CMS系统部署一个公网可以访问的网站。其中推荐了蝉知CMS系统,因为我想这个系统比较简单,全中文文档,学生好上手。不过在实际开发中,学生还有一些问题,是官方手册中较少提到的。以下做个总结。1.如何设置访问域名即访问网站,而不是”域名/index.php”才是访问网站。删掉FTP根目录下的index.html。apache会默认解析到这个文件,这是一个空文件,所以...
蝉知CMSGetShell
weixin_50464560的博客
08-17 835
前言 简单记一下在前段时间的 GKCTF X DASCTF 应急挑战杯中遇到的这个有趣的 CMS,题目不难,但是还蛮有趣的。 预期解 进入题目,是一个蝉知 CMS: 访问 admin.php 见到后台后台账号密码为弱⼝令 admin/12345,登陆进入,并在设计处存在可以编辑模板的地方: 但是点击保存时发现存在限制: 请在服务器创建 /var/www/html/system/tmp/fdbe.txt 文件,如果存在该文件,使用编辑软件打开,重新保存一遍。 但...
蝉(feng)知(wo)cms
蚁景网安学院
05-07 904
本文原创作者:EDI-VOID原创投稿详情:重金悬赏 | 合天原创投稿等你来!前言前段时间朋友在渗透测试中遇到一个蝉知cms,于是一起审计出了不少漏洞,现在漏洞已经在新的版本中修复正文指...
蝉知CMS 7.X XSS漏洞复现
qq_35664104的博客
09-27 1392
个人博客地址:xzajyjs.cn 作为一个开源的企业门户系统(EPS), 企业可以非常方便地搭建一个专业的企业营销网站,进行宣传,开展业务,服务客户。蝉知系统内置了文章、产品、论坛、评论、会员、博客、帮助等功能,同时还可以和微信进行集成绑定。功能丰富实用,后台操作简洁方便。蝉知系统还内置了搜索引擎优化必备的功能,比如关键词,摘要,站点地图,友好路径等,使用蝉知系统可以非常方便的搭建对搜索引擎友好的网站。 今天就对他的早期版本7.x的xss漏洞进行复现。 进到他的主页,先观察到有留言板,可以考虑是否存在
记某CMS漏洞getshell
zhangge3663的博客
05-05 2765
记极致CMS漏洞getshell 今天下午比较空闲,就去搜索一些cms,突然对极致CMS感兴趣,而网上已经有一些文章对它进行分析利用,sql注入,xss,后台修改上传后缀名前台getshell等等。 于是就引起了我的兴趣想去测试一下。 信息收集 还是因为自己太懒,不想搭建环境,然后就想网上有好多网站啊,随便找一个去看看。hhh然后去利用fofa去搜索。(不能随便乱日) 弱密码yyds 搜索了一些网站,我们直接在url后面添加/admin.php,就直接跳到后台登录的地方。 看到后台?!嗯
flowable-7.0.1
最新发布
02-22
flowable-7.0.1 包含初始化sql,说明文档,flowable-rest.war
ModbusPoll7.0.1
03-30
ModbusPoll7.0.1 RS485调试神器
redis-7.0.1 windows x64
06-10
redis-7.0.1 windows x64
网站开源版免费CMS系统
04-24
开源版免费CMS系统,简单方便好用。不
蝉知企业门户系统3.0版
09-27
大家好,我们非常自豪地向大家推出蝉知企业门户3.0版本。该版本实现了区块的跨列布局和模板风格样式的自定义功能,进一步增强了蝉知系统的定制性。加上之前实现的区块布局、模板风格等功能,蝉知系统可以说是目前可定制性最强的企业门户系统了,让我们一起来领略下吧。 内容布局方面: 内容布局蝉知系统实现了区块和布局的概念,可以像搭积木一样对每个页面的内容进行排列组合,从而实现内容布局的个性化。 3.0版本更实现了区块的跨列布局功能,进一步增强了布局的灵活性,可以使用这个功能实现对网页布局的各种布局组合。 页面样式方面: 页面样式方面蝉知系统实现了模板 + 风格的体系。模板决定了页面的代码结构,风格决定了页面的样式。 3.0版本实现了对风格样式的自定义功能,普通用户可以不需要了解样式表等概念也可以实现样式的个性化。 同时蝉知系统还增加了单个产品或者文章的样式和js特效的自定义功能。 还可以直接写一个全局样式表文件来实现对整个网站样式的控制。 搜索引擎(SEO)优化方面: 蝉知系统全面针对搜索引擎进行优化,全站支持伪静态,可以生成简洁明了的目录结构。 可以针对产品和文章的类目设置别名,实现语义化的路径结构。 可以针对单个文章和产品设置别名。 每篇文章或者产品都可以设置摘要、关键词等关键信息。 功能整合方面: 蝉知系统内置了博客、论坛、手册等功能,无需再整合第三方的论坛或者wiki等系统。 蝉知系统内置了QQ和微博的登录功能,方便用户登录注册。 蝉知系统内置了微信的公众号管理功能,非常方便的将网站内容和微信结合在一起。 开发扩展方面: 蝉知系统的底层框架和前端框架都是自主研发的,扩展性、定制性都非常深入。 企业可以在蝉知基础上开发自己的应用,使之更符合自己的业务逻辑。 一、修改记录 1、每套风格都支持样式自定义 2、样式自定义选项细分 3、区块支持跨行 4、产品增加排序功能 5、整理一键安装包 6、调整各个模板风格的细节问题 7、区块的自定义应当能够可视,不是被隐藏在后面 8、类目和论坛版块支持排序 9、解决别名中文路径无法识别的问题 10、control.class.php 支持用户的扩展,方便用户使用自己的模板引擎 11、后台的菜单导航管理页面优化 12、菜单子导航编辑找不到入口,把折叠展开图标变得明显些 13、上传附件的扩展名统一用小写 14、整理附件上传白名单 + 黑名单 15、列表取消缩进,嵌套的列表第二层有缩进,包括前台的展示 16、文章列表的评论数量不包括没有通过审核的 17、文章增加样式和js字段,可以让用户直接写样式表和js代码 18、前台的留言多个回复之间缩小间距 19、前台登录之后,发表者评论时,缩小接收邮件提醒按钮的间距,留言时候添加是否接受邮件提醒的按钮 20、论坛帖子的管理链接直接显示 21、解决云蝉知 网站和博客网站ico图标不同步的问题 22、调整firefox下small标签样式 23、解决编辑器里面内容插入php代码无法编辑的问题 24、解决编辑器内容添加样式表无法编辑的问题 25、QQ登录重复的问题 26、QQ窗口的链接改为新开链接 27、安装的时候增加对版权提示的声明 二、下载地址 源码包: http://dl.xirangit.com/eps/3.0/chanzhiEPS.3.0.zip 三、安装和升级文档 安装文档:http://www.chanzhi.org/book/chanzhieps/5.html 升级文档:http://www.chanzhi.org/book/chanzhieps/68.html 四、演示 前台演示:http://demo.chanzhi.org 后台演示:http://demo.chanzhi.org/backend.php
蝉知网站模板常用的Jquery
diqiejian1788的博客
08-17 164
1.因为蝉知调用到ZUI的缘故,所有class类名会比较多,有时候方便操作样式,常用到去除类名: <p class="chanzhi">It's a wonderful website.</p> 如果class有样式设计复杂影响设计,则可以去除class类:$('p').removeClass('chanzhi'); 对应想要增加类可以用:$('p')....
礼赞 Wordpress,蝉知可直接使用 Wordpress 模板
weixin_33889665的博客
06-02 364
说起内容管理系统,Wordpress当属全球老大。据统计全球有将近1/4的网站是使用wordpress搭建的。Wordpress之所以这样流行,除了它起步的时间较早之外,丰富的模板、插件也启动了非常重要的作用。Wordpress也从早期单纯的博客系统演变化功能齐全的建站系统。 虽然老大已经很强了,我们还是在2013年的时候着手做了我们的蝉知门户系统。蝉知...
各种cms getshell技巧
qq_53742230的博客
07-08 2608
常用CMS getshell技巧
[代码审计]蝉知企业门户系统v7.7存在命令执行漏洞
Y4tacker的博客
07-18 1693
文章目录写在前面分析蝉知企业门户系统 V7.7存在命令执行漏洞 写在前面 感想BUUCTF平台之前没打GKCTF这次跟着复现一次,学会了新东西 分析 蝉知企业门户系统 V7.7存在命令执行漏洞 可以看见相较于上一个版本多了一个需要文件存在才能进行模板修改 我们可以在system/module/common/model.php下面找到,其下面调用的是file_exists,这个函数可以使用文件或者文件夹绕过 而刚好微信模块就存在此功能,点击设置,微信设置,下面先随便填写保存 再点击已完成接入 在原始I
蝉知企业门户系统v7.7 - 命令执行漏洞
LYJ20010728的博客
08-30 1946
蝉知企业门户系统v7.7 - 命令执行漏洞环境搭建漏洞复现漏洞分析 环境搭建 源码下载地址 解压后将文件放在 web 目录下即可访问 漏洞复现 首先登录后台,找到模板编辑的地方(设计 -> 高级)插入恶意代码,但保存文件时显示需要存在指定文件时才能进行模板修改 找到设置,选择微信设置,在这里添加一个公众号,原始ID填写的内容为需要创建文件的路径加上一个 /0,即类似于 ../../../system/tmp/bmet.txt/0 这里需要先创建⼀个正常的接⼝,然后再重新
后台getshell常用技巧
热门推荐
黑面狐
04-03 1万+
1.利用文件上传漏洞,找文件上传处想办法上传php文件。 一些网站在设置可以允许修改上传的文件类型则直接添加php 有时候会还有检测是否为php文件,可以通过文件名变形,大小写,双写等形式绕过,只要是黑名单的都比较好绕过 很多cms还有.hatccess文件禁止访问或者执行这个目录下的文件的情况 这种情况直接上传一个.hatccess文件覆盖这个,让其失效。 或者上传不重命名的...
DAY26:GetShell专题
qq_49433473的博客
08-09 1122
BEES企业网站管理系统 getshell实验、海洋影视网站-getshell实验、Lzcms_v1.1.5 后台文件上传getshell、phpmyadmin 4.8.1 远程文件包含漏洞(CVE-2018-12613)、骑士CMS模版注入+文件包含getshell、Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)、远程文件包含getshell实战靶场(云演环境)、emlog备份数据库漏洞...
hslcommunication7.0.1
04-29
hslcommunication7.0.1是一款适用于C#和VB.NET的工业通信库。该库可以用于各种工业领域的设备和PLC通信,包括Modbus、Omron、Siemens、AB等。其使用简单易懂、API友好,一些基础函数封装得非常好,能够快速地实现设备连接和通信交互。此外,支持多种通信协议,并且在数据读取和写入方面有很好的实现,同时也支持数据点批量读取和写入,可以更高效地处理大量数据的读写操作。这使得在工业自动化控制项目中,可以省去很多的编码工作,提高生产效率。此外,该库具有较好的可扩展性,可以根据不同的项目需求和通讯协议,进行灵活和个性化的定制开发。hslcommunication7.0.1是一款性价比较高的工业通信库,可以简化工业自动化控制编程工作的难度,使得工程师能够更专注于业务的开发和优化。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值