欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_安全预警正文

某cms前台任意文件下载到后台文件上传getshell

b9e08c31ae1faa592020-06-27241安全技术漏洞分析

前言

期末预习不下去,就找些cms审审.本文记录利用前台任意文件下载到后台文件上传达到geshell的目的

关于cms

MyuCMS开源内容管理系统,采用ThinkPHP开发而成的社区商城聚合,插件,模板,轻便快捷容易扩展.

后台任意文件上传

漏洞点:application/admin/controller/Forum.php

未做任何限制,可以直接上传任意文件

某cms前台任意文件下载到后台文件上传getshell  安全技术 漏洞分析 第1张

某cms前台任意文件下载到后台文件上传getshell  安全技术 漏洞分析 第2张

前台任意文件下载

漏洞成因

未进行身份验证,未过滤造成任意文件下载(交给cnvd了

漏洞分析

漏洞点:application/bbs/controller/Index.php

某cms前台任意文件下载到后台文件上传getshell  安全技术 漏洞分析 第3张

继续跟进download方法

is_file判断为true后,执行readfile

某cms前台任意文件下载到后台文件上传getshell  安全技术 漏洞分析 第4张

漏洞利用

http://127.0.0.1/cms/myucms/index.php/bbs/index/download?url=/etc/passwd&name=1.txt&local=1

某cms前台任意文件下载到后台文件上传getshell  安全技术 漏洞分析 第5张

某cms前台任意文件下载到后台文件上传getshell  安全技术 漏洞分析 第6张

实战getshell

任意文件下载+任意文件上传达到getshell目的

由于没有越权点无法直接上传文件,但可以注意到该cms是基于tp框架编写,站点也许会存在日志.

翻了翻本地搭建的环境日志,日志会记录后台登录的账号密码以及口令

Apereo CAS 4.X execution参数反序列化漏洞分析

漏洞分析 在 cas-servlet.xml 中,可以知道对execution参数应该关注 FlowExecutorImpl 在 org/springframework/webflow/executor/FlowExecutorImpl.class:96 public FlowExecutionResult resumeExecution(String flowExecutionKey, ExternalContext context) throws FlowException { FlowExecutionResult var6;

某cms前台任意文件下载到后台文件上传getshell  安全技术 漏洞分析 第7张

利用py遍历站点的日志并下载下来,拿到后台管理的账号密码口令

(不优雅的py代码)

某cms前台任意文件下载到后台文件上传getshell  安全技术 漏洞分析 第8张

成功拿到后台管理账号密码,e... (好像可以直接爆破...

(马赛克)

某cms前台任意文件下载到后台文件上传getshell  安全技术 漏洞分析 第9张

成功登录后台
某cms前台任意文件下载到后台文件上传getshell  安全技术 漏洞分析 第10张

利用文件上传漏洞扔个shell上去

某cms前台任意文件下载到后台文件上传getshell  安全技术 漏洞分析 第11张

中间被ban了次ip,(切了手机热点,再上传一次

某cms前台任意文件下载到后台文件上传getshell  安全技术 漏洞分析 第12张

某cms前台任意文件下载到后台文件上传getshell  安全技术 漏洞分析 第13张

蚁剑连接

某cms前台任意文件下载到后台文件上传getshell  安全技术 漏洞分析 第14张

结语

多细心观察,利用有限手段geshell....(官方,逃

参考链接

https://www.cnvd.org.cn/flaw/show/CNVD-2019-44117


网友评论

1条评论
  • 2020-06-27 00:00:50

    欧博注册网址www.cx11yj.cn欢迎进入欧博网址(Allbet Gaming),欧博网址开放会员注册、代理开户、电脑客户端下载、苹果安卓下载等业务。很喜欢这个站,啥都有