海洋CMSv12.5后台多处代码执行漏洞复现

文章目录

前言
代码审计
漏洞验证
临时修复

前言

好久没有写博客了，最近痴迷于挖一些通用型的漏洞，从这篇开始会陆续复现一些我挖的，或者网上爆出来的漏洞。海洋CMS也是才更新不久，但是这个后台代码执行的洞迟迟不补。

代码审计

说出来你可能不信，一共有四处代码执行，被执行的文件分别是

/data/admin/ip.php
/data/admin/notify.php
/data/admin/ping.php
/data/admin/weixin.php

这四个文件前三个的exp相同，admin_weixin.php的exp需要稍微修改

来到admin_ip.php，这里漏洞的成因也很明显，传入的字符没有经过任何的过滤，直接被写入到文件里了。

因为是POST，所以我们抓个包，去闭合一下它写入到ip.php中的语句

再来看第二个文件admin_notify.php，代码从这里可以确认，代码确实是一个人写的哈哈哈

同样也是闭合一下语句，burp抓包改包去攻击，看一下notify.php这个文件

再来看admin_ping.php

还是抓包改包闭合语句，看一下ping.php

最后看一下admin_weixin.php

再来看一下weixin.php，这个闭合起来也没什么难度

漏洞验证

通杀exp：";phpinfo();?>#

先来验证admin_ip.php，这里不需要抓包，直接POST提交即可：

改完之后会立即执行：

/data/admin/ip.php同样也会执行

再来看admin_notify.php，直接上通用exp：

成功执行

再看admin_ping.php，这里需要注意点击确认按钮

成功执行

最后看一下admin_weixin.php，这里通杀exp要改一下，因为被写入文件定义的是常量，所以要加一个)来闭合

Exp：");phpinfo();?># ，直接插到最后那个输入框即可：

成功执行：

临时修复

临时修复我采用的是htmlspecialchars() 进行简单过滤，这里就不挨个去加固了，先加固admin_ip.php打个样吧

关键代码：

$v= htmlspecialchars($_POST['v']);
$ip = htmlspecialchars($_POST['ip']);

还是老样子，我们在输入框内插入exp：

确认后到ip.php看一下是否被过滤掉：

成功过滤~