帝国CMS(EmpireCMS) v7.5后台任意代码执行漏洞及具体修复方法
时间:2023年06月11日
/来源:网络
/编辑:佚名
帝国CMS(EmpireCMS) v7.5后台任意代码执行
一、漏洞描述
EmpireCMS 7.5版本及之前版本在后台备份数据库时,未对数据库表名做验证,通过修改数据库表名可以实现任意代码执行。
二、影响版本
EmpireCMS<=7.5
三、环境搭建
1、官方下载EmpireCMS V7.5 下载地址:http://www.phome.net/download/
2、把下载的文件中的upload下的所有目录和文件放入到网站根目录下
3、修改php.ini配置文件, PHP环境中必须开启短标签,不然安装会提示无法安装
4、设置php.ini中 short_open_tag = On,重启phpstudy
5、然后开始安装,安装过程参考: https://jingyan.baidu.com/article/48b37f8dcc014b1a6564887c.html
四、漏洞复现
1、查看代码e/admin/ebak/phome.php接收备份数据库传递的参数,然后传递给Ebak_DoEbak函数中。
2、跟进Ebak_DoEbak函数所在的位置,可以看到将数据库表名传递给变量$tablename。
3、继续浏览代码,可以看到如下代码,遍历表名并赋值给$b_table、$d_table,使用RepPostVar函数对表名进行处理,其中$d_table拼接成$tb数组时没有对键值名添加双引号。
4、在生成config.php文件的过程中,对于$d_table没有进行处理,直接拼接到生成文件的字符串中,导致任意代码执行漏洞。
5、访问后台
6、按下图依次点击,要备份的数据表选一个就好
7、点击”开始备份”,burp抓包,修改tablename参数的值
8、可以看到响应的数据包,成功备份
9.查看备份的文件
10.访问备份目录下的config.php,可以看到成功执行phpinfo
11、这时查看config.php文件
五、漏洞修复解决方法
修复方法一、在生成config.php文件时/e/admin/ebak/class/functions.php对表名处增加双引号 即可。
$d_table.="\$tb[\"".$tablename[$i]."\"]=0;\r\n";
修复方法二、删除文件夹/e/admin/ebak/
一、漏洞描述
EmpireCMS 7.5版本及之前版本在后台备份数据库时,未对数据库表名做验证,通过修改数据库表名可以实现任意代码执行。
二、影响版本
EmpireCMS<=7.5
三、环境搭建
1、官方下载EmpireCMS V7.5 下载地址:http://www.phome.net/download/
2、把下载的文件中的upload下的所有目录和文件放入到网站根目录下
3、修改php.ini配置文件, PHP环境中必须开启短标签,不然安装会提示无法安装
4、设置php.ini中 short_open_tag = On,重启phpstudy
5、然后开始安装,安装过程参考: https://jingyan.baidu.com/article/48b37f8dcc014b1a6564887c.html
四、漏洞复现
1、查看代码e/admin/ebak/phome.php接收备份数据库传递的参数,然后传递给Ebak_DoEbak函数中。
2、跟进Ebak_DoEbak函数所在的位置,可以看到将数据库表名传递给变量$tablename。
3、继续浏览代码,可以看到如下代码,遍历表名并赋值给$b_table、$d_table,使用RepPostVar函数对表名进行处理,其中$d_table拼接成$tb数组时没有对键值名添加双引号。
4、在生成config.php文件的过程中,对于$d_table没有进行处理,直接拼接到生成文件的字符串中,导致任意代码执行漏洞。
5、访问后台
6、按下图依次点击,要备份的数据表选一个就好
7、点击”开始备份”,burp抓包,修改tablename参数的值
8、可以看到响应的数据包,成功备份
9.查看备份的文件
10.访问备份目录下的config.php,可以看到成功执行phpinfo
11、这时查看config.php文件
五、漏洞修复解决方法
修复方法一、在生成config.php文件时/e/admin/ebak/class/functions.php对表名处增加双引号 即可。
$d_table.="\$tb[\"".$tablename[$i]."\"]=0;\r\n";
修复方法二、删除文件夹/e/admin/ebak/
新闻资讯 更多
- 【帝国cms教程】帝国CMS模板变量$GLOBALS[navclassid]用法分析04-03
- 【帝国cms教程】鲜为人知帝国CMS内容页调用上一篇和下一篇的精华方法汇总04-03
- 【帝国cms教程】怎么快速找出帝国CMS数据库配置文件路径及迁移网站后修改技巧!04-03
- 【帝国cms教程】帝国CMS模板$GLOBALS[navclassid]用法详解04-03
- 【帝国cms教程】帝国cms 7.5版列表页分页样式修改笔记04-02
- 【帝国cms教程】解决帝国CMS搜索页面模板不支持灵动标签和万能标签的方法04-02
- 【帝国cms教程】帝国CMS只备份栏目和模板的方法04-02
- 【帝国cms教程】帝国CMS怎样删除清空数据库记录?04-02
猜你需要
热门文章
- 178Moban源码谈谈免费源码与收费源码的区别
- 2帝国CMS忘记后台登陆用户名、密码、认证码的解决方法
- 3帝国CMS(EmpireCMS) v7.5后台任意代码执行漏洞及具体修复方法
- 4帝国CMS和WordPress 哪个好?哪个适合建站?
- 5如何解决Discuz的密码错误次数过多请15分钟后登陆的问题
- 6帝国cms灵动标签取得内容和栏目链接地址
- 7emlog pro 注册码“开心”教程(如果有一天,emlog官方版 或者 emlog免费版 跑路了,那用户怎么办?)
- 8织梦CMS在nginx下设置伪静态方法(附nginx伪静态规则)
- 9帝国cms后台登录出现”您还未登录”怎么解决?
- 10帝国cms7.5忘记登录密码 和忘记登录认证码以及多次登录 失败被锁定解决办法
豫ICP备2021026617号-1
豫公网安备:41172602000185