TRS cms用户注册漏洞
据了解TRS WCM涵盖网站建立、内容服务、内容传递等内容价值链的各个方面,将结构化和非结构化信息提供给所有用户。
既然在外网能访问TRS WCM,那就方便许多了,由于是第一次遇到此系统,所以去wooyun上搜了一下相关漏洞利用方式,发现其实wooyun上公布的对这个系统的漏洞利用方式还是很多的,都是些高危漏洞,其中有三个高危漏洞可以很好的利用一下,TRS WCM多为gov站点使用,不过这里遇到了就学习一下,相关连接如下:
(1)TRS WCM后台SQL注入一枚
(2)TRS的WCM6漏洞权限绕过以及绕过密码的登陆方式
(3)TRS WCM 6.X系统任意文件写入漏洞
(4)TRS内容管理平台用户注册逻辑漏洞
针对现在的环境:
(1)种情况是无法利用的,(1)要有管理员登陆权限,在登陆入口处:尝试了TRS默认密码、弱口令还有前面搜集到的信息都登陆失败,这里可能会想到用(2)种方式来绕过密码的登陆方式,但是问题是网站里并没有wcm/infoview.do的映射,也就无法找到管理员的登陆信息,我想可能是版本不一样吧,即使找到了也是MD5加密只取半截的情况。
接着我突然想到的一个思路是,我手上已经有内网里的主要业务服务器(172.20.3.20)了,不妨利用(4)种方式直接下载数据库配置文件来获取数据库的连接信息,说不定还可以将读取到的密码运用到其他内网数据库服务器上,如果是sa用户那就这接拿下服务器了,这个思路的前提是在172.20.3.20服务器上可以连接主站172.20.3.12的MSSQL数据库,才可以直接拿下主站服务器这里已经验证可以在当前拿下的内网机器里连接到172.20.3.12的1433端口,扫描过程就不细说了。
网址加上:
wcm/console/auth/reg_newuser.jsp
也就是访问:
注册的时候,注意使用firebug修改“真实姓名”的表单,如图53所示。
直接将“name”元素由“TRUENAME”修改为“STATUS”,即将“真实姓名”表单改成 STATUS 值为 30,或增加STATUS字段表单,修改完后去提交才发现无法点击“确定”提交表单信息,“确定”按钮不是灰色按钮,但是就是点击后无反应的情况,难不成“确定”按钮被disable了?既然这样还可以修改HTML为enable来恢复正常,可是HTML没有相关的代码,如图54所示。
在wooyun上也看到刺刺大牛遇到这种情况,他的情况也是Firefox访问wcm/console/auth/reg_newuser.jsp这个页面,点击不了提交的“确定”, 也有可能是有的WCM版本注册这里的程序被修改过,提交会报500错误;也有可能是CNVD的验证测试不够深入,大牛还说可以直接这对wcm/console/auth/reg_newuser_dowith.jsp POST提交也是成功了的,这种方式当然是可以的了,有兴趣的可以去试试。
测试了其他浏览器发现只有IE系列的浏览器是可以正常提交表单的,但是IE10及以上的版本提交会报脚本错误,这里不知道怎么回事,我用的是IE10.0的,不过在IE10以下的还是可以的,IE10.0提交会报错,微软在IE6.0以上的版本都嵌入了开发者工具集(按F12弹出),功能类似于Firebug。
这里我还是使用IE10.0来提交,不过这里需要将开发者工具中的“浏览器模式”改为IE10以下的版本,我选择的是“IE7”模式,如图55所示。
与Firebug里面的操作一样,将“name”元素由“TRUENAME”修改为“STATUS”后点击“确定”,如图56所示。
“请等待开通!”,但实际上已经开通了,因为 STATUS 字段让我们改成正常了,直接登录如图57所示。
进入了后台并没啥操作权限,自然就无法利用TRS的后台SQL注入,在默认的相对路径的情况下可以直接访问wcm/file/read_file.jsp下载数据库配置文件config.xml,
TRS cms用户注册漏洞相关推荐
- 怎么修复网站漏洞 骑士cms的漏洞修复方案
骑士CMS是国内公司开发的一套开源人才网站系统,使用PHP语言开发以及mysql数据库的架构,2019年1月份被某安全组织检测出漏洞,目前最新版本4.2存在高危网站漏洞,通杀SQL注入漏洞,利用该网站 ...
- 墨者学院 - CMS系统漏洞分析溯源(第9题)
CMS系统漏洞分析溯源(第9题) 本题就是利用了discuz 7.2 中的faq.php文件sql注入漏洞的一个0day 下载exp 利用 admin用户的密码无法破解,所以直接用webshell的链 ...
- 某公司公众号任意用户注册漏洞利用
现在大多平台用户注册都采用了手机号注册,通过发送验证码确保手机号的合法性.但是如果处理不当,则可能造成任意手机号注册等漏洞,就比如下面的某公众号. 漏洞利用 漏洞URL: http://wx.xxxx ...
- (转载)TRS的WCM6漏洞权限绕过以及绕过密码的登陆方式
转载于:http://www.2cto.com/Article/201302/191261.html 1.由来:建立在 TRS的WCM6可直接获取管理员密码 漏洞的基础上 2.首先访问wcm目录,会自 ...
- 网站内容管理系统--CMS相关漏洞复现
cmseasy7.3.8–文件读取漏洞复现步骤 首先准备一套源码,搭建在phpstudy中. 在php中 Mysql中创建cmseay7数据库 3. 再将准备好的源码,解压放到网站根目录 登录后台 账 ...
- WBCE CMS安全漏洞(CVE-2022-25099)
文章目录 0x01 漏洞介绍 0x02 影响版本 0x03 漏洞编号 0x04 漏洞查询 0x05 漏洞环境 0x06 漏洞复现 0x07 修复建议 免责声明 摘抄 0x01 漏洞介绍 WBCE CM ...
- 齐博cms老漏洞分析
这天看一些经典的审计的例子,看到齐博cms的2013年的一个老洞,这个漏洞我感觉很经典,这里总结一下,记个笔记 这个漏洞是变量覆盖的漏洞 首先出问题的地方是fujsarticle.php,下面是是整个 ...
- 梦想CMS注入漏洞分析发现小彩蛋
0x01 前言 查资料的时候,偶然间看到这样一个漏洞,在一个提交表单的地方,插入SQL语句,便可以进行报错注入.看着有点像二次注入,对于这样类型的注入,我个人遇到的还是比较少的,再加上一般这种地方多数 ...
- 苹果cms最新漏洞总是被挂马跳转劫持 如何解决
2020年刚开始,苹果CMS被爆出数据库代码执行漏洞,大量的电影网站被挂马,尤其电影的页面被篡改植入了恶意代码,数据库中的VOD表里的d_name被全部修改,导致网站打开后直接跳转到S站或者弹窗广告, ...
最新文章
- Python的神奇功能——函数装饰器MetaClass
- 感动哭!Starbreeze发布《收获日2》VR版
- 全球农业资源利用与粮食安全研讨会 国际农民丰收节贸易会
- 俞敏洪:新东方业务调整 为农村孩子捐献近八万套课桌椅
- C#:识别一个dll文件是Debug模式还是Release模式编译的
- ZMQ == 服务端创建,接受请求的过程
- LinuxCentOS安装破解版Navicat
- SQL循环语句的几种方式
- 打印纸张尺寸换算_常用纸张尺寸大小对照表
- 提高笔记本无线网络速度
- 启用计算机上的无线,如何使用命令提示符打开或关闭计算机上的wifi
- 【NOI OJ】4977 怪盗基德的滑翔翼
- Moses的安装、训练和优化
- Java 字体颜色转换工具类 ColorUtil
- 给大家讲一个关于map和bean的故事(在SpringJdbc玩map被玩死)
- 破解android手机屏幕九宫格锁屏
- 通过FAR计算fRR
- 你为何没有年薪百万?大部分故事是有隐藏的成功背景
- golang爬虫项目Pholcus源码分析(四)
- 股票、期货、数字货币量化分析
热门文章
- 常用页面代码html
- 论文阅读13:ENHANCING COLLABORATIVE FILTERING MUSIC RECOMMENDATION BY BALANCING EXPLORATION AND EXPLOITAT
- Ext4.0源码解读(分享二)
- 如何开发自己的通用Mapper
- 上海市行政管理学校96计算机,有编制!上海市行政管理学校招聘8人公告
- 做seo为什么要了解网站?
- 【CCF会议期刊推荐】CCF推荐国际学术期刊/会议(计算机科学理论)
- C语言教程:十进制转换任意进制
- 通过颜色来生成一个纯色图片
- 4.2 热储存与冷储存