wuzhicms<=4.1.0后台RCE(0day)

admin 2024年11月4日23:24:35评论13 views字数 621阅读2分4秒阅读模式

声明:本文仅用于网络安全相关知识分享,环境为本机靶场,请严格遵守网络安全相关法律法规。

未经授权利用本文相关技术从事违法活动的,一切后果由违法人自行承担!Jie安全公众号及作者不承担任何法律责任。

该漏洞已于2024-10-21交至CVE,并于2024-10-30获得CVE编号(CVE-2024-10505)

wuzhicms<=4.1.0后台RCE(0day)

wuzhicms<=4.1.0后台RCE(0day)

代码分析:

www/coreframe/app/content/admin/block.php文件中的add方法将输入的template_code分配给$code

wuzhicms<=4.1.0后台RCE(0day)

blockid是创建后数据的 ID,如果createhtml值不为0就会调用html方法

wuzhicms<=4.1.0后台RCE(0day)

HTML会根据传递的blockid从数据库中提取code值,并写入对应的blockid编号文件中。它还执行了文件包含操作,并将结果写入相应的blockid编号HTML文件中。

wuzhicms<=4.1.0后台RCE(0day)

漏洞验证
点击发布内容中的推荐位管理,点击添加推荐位,选择类型,随便填写名称,比如 test。填写模板内容的 PHP 代码,并选中生成html页面选项。

wuzhicms<=4.1.0后台RCE(0day)

然后返回列表,可以看到新添加的内容ID是46,对应HTML文件/web/46.html

wuzhicms<=4.1.0后台RCE(0day)

打开:http://192.168.0.106/webs/46.html

RCE

wuzhicms<=4.1.0后台RCE(0day)

值得一提的是,edit方法也是调用html造成RCE的问题,我也提交了,不过CVE认为和add方法重复,所以合并了。

wuzhicms<=4.1.0后台RCE(0day)

wuzhicms<=4.1.0后台RCE(0day)

wuzhicms<=4.1.0后台RCE(0day)

原文始发于微信公众号(Jie安全):wuzhicms<=4.1.0后台RCE(0day)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月4日23:24:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   wuzhicms<=4.1.0后台RCE(0day)http://cn-sec.com/archives/3353990.html

发表评论

匿名网友 填写信息