CmsEasy 漏洞挖掘
写在前面
在index.php ,定义了一些常量,设置 文件包含的目录,和注册了自定义加载类。
lib目录中前两个文件夹分别存放的是后台和前台的控制器。
inc文件夹提供一些必要的支撑,数据库的操作,以及控制器的基类,模板渲染类。
所有的控制器都继承于 act 类。同时他还给所有数据库的表,设计了相对应的操作,位于table文件夹下,此文件夹下的类也都继承于 table类。
tool文件夹存放一些小工具,自定义函数,waf之类的,应用调度,也是在此文件夹处理。
继续跟进入口文件。
实例化了 front对象,并调用 dispatch 方法。
他的构造方法就是获取对应的参数,
同时对所有的请求进行转义和html实体的处理。
这里获取对应的控制器和操作。
这两个静态变量,在 dispatch 方法 中,用于实例化控制器,并调用方法。
前台sql注入
在 crossall_act.php 中存在 execsql_action 方法
他接受一个get请求的 sql参数,然后进行一个解码的操作【网络安全学习攻略】
但此文件还同样提供了加密的函数,都不需要逆向他的算法,直接利用其加密sql语句。
我们可以利用此函数加密 sql语句,最后执行我们的sql语句
执行一个sql查询。
后台RCE
一
在language_admin.php 中,有add_action方法,这个方法用于给语言文件添加规则,
当id是1时,语言包是中文语言包,由于hackbar 没办法提交submit参数 ,我这里直接改成了 submi。
system_custom.php文件中有空数组,用他来进行尝试。
插入新定义的键值对,且文件名和插入内容都是可以控制的,由于对表单数据存在waf,被转义的和转成html实体,无法对原文件造成危险。
$content=str_replace(');',"\n".$replace.');',$content);
注意这句话,他插入键值对的逻辑就是讲文件中的 );替换为 换行符 加上
,再补上); 。【网络安全学习攻略】
他的想法是没错的,但我觉得不应该,万一字符里有了 ); 呢。
把); 去掉,再插一条。
报错是好事情,说明里面可以做文章。由于 此php文件 是直接 return 一个数组的,没办法直接在数组外面写东西的,这些是语法问题。
php的数组比较随意的。
观察上面的错误,因为先前 拼接的 ); 导致中间逃出了一个单引号,剩下的就好办了,配合 , 和 /* 解决后面的问题。
成功拼接。
二
在update_admin.php 中存在 downfile_action 操作,存在可控url参数,
导致我们可以从任意服务器下载压缩文件,
并解压,压缩文件中可以写入 upgrade/upgrade.sql ,sql注入,对数据库信息造成破坏。
并解压,压缩文件中可以写入 upgrade/upgrade.sql ,sql注入,对数据库信息造成破坏。
还可以写入木马文件。
成功写入。
最后
想学技术自己挖洞的朋友,可以关注私我,学习网络安全
【网络安全学习攻略】
CmsEasy 漏洞挖掘相关推荐
- 【网络安全】CmsEasy 漏洞挖掘
写在前面 在index.php ,定义了一些常量,设置 文件包含的目录,和注册了自定义加载类. [<img src="https://p3-juejin.byteimg.com/tos ...
- c++ 界面交互影响处理代码执行速度_原创 | 某SCADA的远程代码执行漏洞挖掘与利用...
作者 | 绿盟科技格物实验室 陈杰 前言 近年来网络安全形势日渐严峻,国内外都开始对工控安全越来越重视,而工控领域由于常年来对安全的忽视,导致暴露出数量惊人的严重安全漏洞,更为严重的是,相当一部分厂商 ...
- 【安全牛学习笔记】手动漏洞挖掘(三)
手动漏洞挖掘 Directory travarsal / File include(有区别/没区别) 目录权限限制不严 / 文件包含 /etc/php5/cgi/php.ini allow_url_i ...
- shodan 渗透测试 漏洞挖掘 一些用法
渗透测试中,第一阶段就是信息搜集,这一阶段完成的如何决定了你之后的进行是否顺利,是否更容易.而关于信息收集的文章网上也是有太多.今天我们来通过一些例子来讲解如何正确使用Shodan这一利器. 想要利用 ...
- ie 打开后端发过来的pdf_某办公软件PDF阅读器漏洞挖掘及Crash分析
摘要 本文主要讲述如何利用winafl对***pdf阅读器程序进行漏洞挖掘的过程. 准备 winafl.DynamoRIO ***pdf(11.6.0.8537)32位 测试环境:win7 32位.4 ...
- 某设备产品漏洞挖掘-从JS文件挖掘RCE
前言 某次渗透过程中碰到了个设备产品,通过一些黑盒测试小技巧获取目标权限 信息收集 [点击获取网络安全学习资料·攻略] 2000多本网络安全系列电子书 网络安全标准题库资料 项目源码 网络安全基础入门 ...
- 【安全漏洞】一次前台任意文件下载漏洞挖掘
1.起因 日常闲逛,翻到了某后台系统 先是日常手法操作了一番,弱口令走起 admin/123456 yyds! U1s1,这个后台功能点少的可怜,文件上传点更是别想 不过那个备份管理的界面引起了我的兴 ...
- 漏洞挖掘 符号执行_简述符号执行
前言 符号执行 (Symbolic Execution)是一种程序分析技术,它可以通过分析程序来得到让特定代码区域执行的输入.顾名思义,使用符号执行分析一个程序时,该程序会使用符号值作为输入,而非一般 ...
- 记录某一天安服仔的漏洞挖掘过程
前言 作为一个拿着几 K 工资的安服仔,某一天上级给了一个网站需要挖挖洞.客户不愿意提供测试账号,通过其他位置拿到账号规则,然后进行爆破的时候把账号都锁了,因此还被投诉了.记录一下一天的漏洞挖掘过程, ...
最新文章
- 论推荐系统与精细化运营
- 特征重要性、特征集成+FeatureUnion、特征选择变换器+ColumnTransformer、标签特征变换+TransformedTargetRegressor、特征质量、自动学习数据中的特征
- 运行sqlplus时遇到cannot restore segment prot after reloc: Permission denied
- 【TDS学习笔记】Install the Web Admin Tool for TDS
- 远程控制工具_不要让您的工具控制您
- 计算机发展史评课议课稿,评课议课记录范文
- ups一直响是什么原因_UPS的完整形式是什么?
- 32. 脱壳篇-简单带壳的程序、反调试带壳的程序(堆栈平衡原理找OEP、代码段设置断点)
- 细粒度图像分类_北大提出PKU FG-XMedia:细粒度跨媒体检索数据集和评测基准
- IOS炫酷的引导界面
- php 枚举类型比较,PHP 枚举类型的管理与设计知识点总结
- Halcon模板匹配(基于相关性)
- springboot添加拦截器 监听等设置
- 求数列的最大子段和java_十大经典排序算法(Java版本)
- 2018通达信l2服务器源码,通达信强势龙头指标源码无未来,牛股连板涨停启动源码...
- 使用量产工具修复U盘教程
- 港股历史行情数据 API 接口
- 标学历年真题2016年版 真考题库1 电子表格
- 提取html string,c#从html中提取文本
- Nginx--Rewrite重写
热门文章
- Python编程语言学习:两行代码输出根目录下所有子文件夹的绝对路径、相对路径
- Python:wordcloud.wordcloud()函数的参数解析及其说明
- DataScience:深入探讨与分析机器学习中的数据处理之线性变换—标准化standardization、归一化Normalization/比例化Scaling的区别与联系
- 成功解决ImportError: cannot import name 'PILLOW_VERSION'
- 不用中间变量交换a和b的值?
- JAVA Bean和XML之间的相互转换 - XStream简单入门
- 20190110-用笨办法找到二维矩阵的鞍点
- Linux usual cmd
- Torchlight(火炬之光)人物骨骼动画
- Linux下FTP服务器配置与管理