展开

关键词

Phpcms v9漏洞分析

最近研究源码审计相关知识,会抓起以前开源的CMS漏洞进行研究,昨天偶然看见了这个PHPCMS的漏洞,就准备分析研究一番,最开始本来想直接从源头对代码进行静态分析,但是发现本身对PHPCMS不是很熟悉 1、漏洞触发代码定位 通过漏洞的POC(/phpcms/index.php? 从下面的果变化可知,img标签的src属性是在执行完下面的get()函数: $user_model_info = $member_input->get($_POST['info']) 后发生变化,因此基本可以确定 代码整体比较容易,可能比较难理解的就是$this->fields这个参数,这个参数是初始化类member_input是插入的,这个参数分析起来比较繁琐,主要是对PHPCMS不熟,那就在此走点捷径吧, 论就是,漏洞的触发函数在倒数6、7两行,单独截个,如下⤵️: ?

77270

冷场了吗?我带着phpcms9.6.2 注入来救场了

如下所示,可以直接绕过正则,但是要使用什么字符进行绕过并且还能正常访问到相应PHP文件呢?这里可以使用一些空白字符来进行绕过。 ? %81-%99间的字符是不会被trim去掉的且在windows中还能正常访问到相应的文件,如下所示。 ? 因此通过使用%81-%99间的字符来绕过补丁进行任意文件下载,需要造好a_k的值,才能进行下载,利用代码分析就不在做了与之前的phpcms 9.6.1漏洞是一样的,如下是利用方法的操作步骤: 第一步: 使用上面的代码可以进行解密和加密,下中decryption_step2 result的值便是对payload进行解密的最终果,encryption_step2的值是对payload进行加密的最终果 0x03 总 phpcms 9.6.2 版本的任意文件下载补丁可绕过,导致可下载配置文件,获得key,然后利用得到的key可以进行SQL注入,当然key还可以进行很多其他操作,本篇没有涉及,如果师傅们有好的示例或文章

865110
  • 广告
    关闭

    腾讯云+社区系列公开课上线啦!

    Vite学习指南,基于腾讯云Webify部署项目。

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    回忆phpcms头像上传漏洞以及后续影响

    什么意思,也就说我可以造一个“出错”的压缩包,它可以解压出部分文件,但绝对会在解压未完成时出错。 首先造一个解压会出错的压缩包,大家看下,1-7.php都已经被成功解压了,但6.php解压出错,WinRAR弹出了出错信息: ? 发包的时候,将这个压缩包带上,会发现返回了500,出错信息: ? 我在本地用notepad++即可修改、造一个压缩包。 上传头像时抓包将刚才造的压缩包贴进去: ? 然后,网站根目录下就会有你的shell了:aaaaaaaaaaa.php ? phpcms已经彻底抛弃了解压缩的方式,直接在前端将片处理完成后进行上传。

    32230

    PHPCMSV9深度整合百度编辑器ueditor

    支持到PHPCMS V9.1.18 前段时间由于婚,耽搁了ueditor 1.2.2的整合,实在抱歉。 (涉及文件:ueditor.php) 2012年9月13日23时20分:修复片上传后在附件表中片记录的status的状态为“0”的问题,修复片上传后片名(filename)的后缀名重复的问题。 2012年9月4日0时30分:整合ueditor1.2.3,新增片上传水印控制、涂鸦、远程片抓取、word片转存等功能,修复PHPCMS V9后台管理启用二级域名引发的JS跨域问题,改进子标题显示 主要功能: 1.为ueditor添加PHPCMS V9子标题插件 2.片上传采用ueditor的默认上传插件 3.附件上传采用PHPCMS V9的附件上传 4.上传路径采用PHPCMS V9的默认目录模式 5.修正了PHPCMS V9 未使用附件列表中没有文件名的一个小BUG 6.实现远程片抓取功能 7.整合ueditor涂鸦功能 8.整合ueditor word片转存功能 9.修复PHPCMS V9

    33840

    phpcms上传导致getshell详解及案例

    很多cms为了丰富自己的功能都提供了上传头像、上传片等功能。 从那个“PK”到最后尾,一大段东西,实际上就是我们上传的这个片。我们把它们全部删掉,包括“PK”。 然后我们要造一个包含恶意代码的数据包,我新建了一个zip压缩包,里面包含一个文件夹“phi”,这个文件夹里包含一个我的webshell:“xm.php”。 蓝色的是你压缩包的文件。 访问这个地址发现OK了。 ? 菜刀连一下成功,在剩下的事我就没兴趣了: ? 0x03 漏洞原理 说一下为什么我们造一个这样的压缩包就能getshell。 phpcms对头像上传是这么处理,上传上去的zip文件,它先解压好,然后删除非片文件。

    53310

    PHPCMS V9最新版高危漏洞预警 攻击者可直接植入脚本木马

    近几日,国内知名网站内容管理系统Phpcms频频爆出高危漏洞,虽然Phpcms官方11月27日发布了紧急更新补丁,修补了之前出现的多个" 高危"漏洞。 目前安恒信息安全研究院已积极联系Phpcms网站内容管理系统官方通报该漏洞,请广大使用Phpcms的用户密切关注官方补丁更新动态。 关于Phpcms网站内容管理系统 Phpcms网站内容管理系统是国内主流CMS系统之一,基于PHP+MySQL的技术开发,支持多种服务器平台。 关于安恒信息安全研究院 安恒安全研究院是杭州安恒信息科技创新、技术进步及安全研究的重要研究部门,研究院拥有一支在安全技术研究和应用领域优势突出、团有为、勇于创新的年轻队伍,在安全漏洞研究发掘、Web应用安全及数据库安全问题研究 、软件逆向研究等诸多领域积累了大量的研究成果,获得了国内外各种安全机各 类型原创漏洞证书。

    63470

    网站漏洞修复对如何修复phpcms网站漏洞

    SINE安全公司在对phpcms2008网站代码进行安全检测与审计的时候发现该phpcms存在远程代码写入缓存文件的一个SQL注入漏洞,该phpcms漏洞危害较大,可以导致网站被黑,以及服务器遭受黑客的攻击 ,关于这次发现的phpcms漏洞细节以及如何利用提权我们来详细剖析。 整个phpcms采用PHP+Mysql数据库作为架,稳定,并发高,承载量大。 phpcms2008漏洞详情 在对代码的安全检测与审计当中,发现type.php文件代码存在漏洞,代码如下: <? 没有进行过滤就可以直接写入到缓存模板中,我们可以指定TAG内容,post提交过去,如下代码: 我们在自己的本地电脑搭建了一套phpcms2008系统的环境,进行漏洞测试,提交post参数过去,我们看下本地的漏洞phpcms漏洞修复与安全建议 目前phpcms官方已经修复该漏洞,请各大网站运营者尽快升级phpcms2008到最新版本,有些二次开发的网站可以针对缓存目录进行安全限制,禁止PHP脚本文件的执行,data

    69120

    PHPCMS_V9.2任意文件上传getshell漏洞分析

    参数名称 描述 位置 备注 m 模型/模块名称 phpcms/modules中模块目录名称 必须 c 控制器名称 phpcms/modules/模块/*.php 文件名称 必须 a 事件名称 phpcms php文件需要放在二层目录下然后再进行压缩 上传头像照片(Burp抓包)->保存片 将之前的片数据删除 ? ? 将Tao.zip中数据,按照上的操作添加至请求中,最终效果如下。然后放行 ? 然后前端打包压缩成zip数据,当我们保存片时,我们的压缩包数据会上传到服务器,通过uploadavatar函数进行处理(函数在文件phpsso_server/phpcms/modules/phpsso 片处理请求为/phpsso_server/index.php? 因为unlink无法删除文件夹,这就是为什么上面利用的压缩包里的恶意代码文件需要放在目录下 漏洞修复 不使用zip压缩包处理片文件 使用最新版的phpcms 文章中有什么不足和错误的地方还望师傅们指正

    40420

    PHPCMS列表第一项特殊化

    PHPCMS的强大在于他的可扩展性强,懂PHP的人,对PHPCMS进行二次开发相对其他CMS程序是最容易的。今天讲下如何实现PHPCMS的列表中的第一项特殊化。 PHPCMS第一个项目加片缩略,其他的正常 {pc:content action="lists" catid="$catid" num="10" order="id DESC"} {loop $data else}{/if} {if $n == 2,3,4,5} {$r[title]} {else}{/if} {/loop} {/pc} 如果是第一行,则加上

    13830

    PHPCMS_V9.6.0任意文件上传漏洞分析

    前言 PHPCMS是一款网站管理软件。该软件采用模块化开发,支持多种分类方式。 F7跟进,执行到下,将注册信息插入数据库,注册完成。 ? ? 之后返回到register函数 ? 如上,这里获取的是editor函数,而在这个函数中,有个download方法(下,文件在caches/caches_model/caches_data/member_input.class.php) 在上的fillurl方法中,通过下面代码去掉了锚点. 但是由于v9_member_detail表中没有content列,产生了报错。从而将插入数据中的sql报错语句(包含shell 路径)返回了前台页面。

    43020

    PHPCMS模板制作精髓

    description]} 去除格式的描述 {str_cut(strip_tags($v[description]),200,'[…]')} 去除格式的描述,并在200字符时切断,用[…]表示切断部分 缩略 {$v[thumb]} 完整片 {thumb($v[thumb],150,112)} 把片裁剪成宽150,高112,裁剪后的片自动在附件中生成 栏目参数 {$CAT[catname]} 栏目名称 content目录下的header.html文件 {template "content","filename"} 调用content目录下的filename.html文件 判断首页分类列表页内页 下面是我自己总出来的 ,用户PHPCMS的页面判断 {if ! 友情链接调用 最后附上一些比较实用的方法 PHPCMS判断每5行进行一次分割 PHPCMS列表第一项特殊化 PHPCMS详解栏目ID

    23520

    批量删除腾讯专栏文章的脚本

    a=2 延伸阅读: html5页面base路径问题 webpack,nginx,打包相对路径问题2016-02-18 手把手以实例叫你学习nginx配置2016-02-29 phpcms V9.6.0 版本整合百度ueditor1.4.3.2,包括水片上传水印2016-03-01 Windows下Nginx的常用命令,比如:启动、停止等命令2016-03-04 phpcms v9百度地全站生成! 等cms2018-04-26 腾讯云神器的市场推广价格——坑爹的价格体系2018-05-31 网站迁移云服务器血泪记—phpcms小站迁移2018-06-04 phpcms v9站http升级到https 加http2遇到到坑2018-06-08 Nginx葵花宝典—草根站长Nginx运维百科全书2018-06-18 phpcms站点用php脚本自动刷新腾讯云CDN2018-07-10 web安全nginx 需设置HTTP header参数及phpcms设置CSP的缘由及注意事

    60230

    斗哥说|phpcms_v9.6.0 任意文件上传漏洞复现!

    煽情束! 本周斗哥给大家带来了4月份爆出phpcms v9.6.0的漏洞之一,允许上传任意文件,可直接利用该漏洞getShell,这个漏洞利用过程还是比较简单和直接的,接下来复现下这个漏洞。 2.0x02 启动phpstudy,然后访问本地http://127.0.0.1/phpcms/地址。 ? ? 3.0x03 安装完成后访问首页,可以正常访问便是安装成功。 http://127.0.0.1/phpcms/index.php。 ? 也可以直接使用hackbar使用POST请求提交以下的POC Request:http://xxx.xxx.xxx/phpcms/index.php? 总:稍稍看了下,这个footer搞不好可以进行GoogleHacking 一波,而且整个漏洞的利用属于较简单的,具体怎么进行批量大家可以用多多思考下:)

    1.3K80

    一次与fineCMS的偶遇 - fineCMS getshell漏洞

    发表日期是12.8,再合这个“头像上传”,我似乎想到了什么。 ? 于是我把补丁下下来,并在网上找了一个没打补丁的v2.1.0源码。 这不就是phpcms那个头像上传getshell吗,原来fineCMS中头像上传的地方使用的是phpcms的源码。而且这个开发者也很负责,在phpcms出事以后很快就发布了自己的补丁。 0x03 老办法拿shell(这部分不理解的话参考phpcms那个漏洞) 注册会员,来到上传头像处,选择一个正常片点保存: ? burpsuite抓包改包: ?

    1.1K30

    phpcms V9使用百度编辑器UEditor

    注意编辑器文件夹ueditor的最终路径必须是/statics/js/ueditor/ 另外,上传的片附件还要改下,等下再发给帖子说明下 由于经常要贴代码以及其它编辑器效果,但phpcms默认的编辑器功能太简单 之前忘记修改栏目投稿权限,现在只要注册就可以测试,5.28修改) 官网体验url如下: http://ueditor.baidu.com/website/onlinedemo.html 替换过程中需要修改到phpcms 步骤如下: 一、先到官网下载资源包(先定制编辑器导航工具,再下载) 二、上传到phpcms默认的js文件路径,上传后的文件路径如下 \statics\js\ueditor\ 三、打开/phpcms 五、修改完毕后,在/statics/js/ueditor/editor_config.js找到112、113行,修改编辑器默认宽度和高度,因为phpcms默认编辑器没有那么大: //,initialFrameWidth

    15630

    PHPCMS开启sphinx搜索果永远都相同

    配置好sphinx,并在后台开启后,无论搜索什么关键字,每次搜索果都是顺序的把我所有的文章列出来。 我是按照官方提供的sphinx配置文件配置的,用的是centos系统,在终端执行时能够返回搜索内容,就是在phpcms程序中有问题 热心网友的回答 程序版本 PHPCMS V9正式版utf-8 把phpcmsmodulessearchclassessearch_interface.class.php this->cl->Query($utf8_q, 'main, delta'); 修改为 $res = $this->cl->Query($q, 'main, delta'); utf-8 的 phpcms

    16830

    建站CMS系统:织梦dedeCms、PageAdmin、帝国优缺点比较

    后台功能组织也不如dede清晰明细,dede如果想要去使用的话在后台很快就能找到,而帝国可能找了半天才找到,有些东西分类不清楚,只有用的时间长了,才明白在哪里,但是帝国毕竟安全,模板存在数据库不易被偷,从可做网站的架上讲 本来想选择phpcms的,但是phpcms已经倒闭关站了,网上也报一堆漏洞没有人修补,所以还是不准备入坑。 总体来说,这几个cms系统各有优势,但是如果从安全上来说,不建议用dedecms和phpcms、尽量选择pageadmin或帝国,除非你有二次开发能力,真的可以修复好那些存在的漏洞,不过个人建议,dedecms 和phpcms既然官方都不维护了,大家再入坑就是为以后找麻烦了。

    1.2K00

    phpcms v9 常用函数

    $isformdata = 1) //把数组转换成字符串   function subarea($parentid = 0) //取得地区   function subtype($module = 'phpcms ') //取得模块的分类   function thumb($imgurl, $width = 100, $height = 100 ,$autocut = 1) //生成缩略   function  ($msg, $url_forward = 'goback', $ms = 1250, $direct = 0) //创建提示信息   function load($file, $module = 'phpcms data, $isformdata = 1) //把数组转换成字符串 function subarea($parentid = 0) //取得地区 function subtype($module = 'phpcms ') //取得模块的分类 function thumb($imgurl, $width = 100, $height = 100 ,$autocut = 1) //生成缩略 function get_sql_catid

    61170

    相关产品

    • 云服务器

      云服务器

      云端获取和启用云服务器,并实时扩展或缩减云计算资源。云服务器 支持按实际使用的资源计费,可以为您节约计算成本。 腾讯云服务器(CVM)为您提供安全可靠的弹性云计算服务。只需几分钟,您就可以在云端获取和启用云服务器,并实时扩展或缩减云计算资源。云服务器 支持按实际使用的资源计费,可以为您节约计算成本。

    相关资讯

    热门标签

    扫码关注云+社区

    领取腾讯云代金券