记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华狂雨cms代码审计:后台文件包含getshell
开学了课多了也是比较忙,花了好久才完成狂雨cms是款小说cms,照例先是网站介绍网站介绍狂雨小说内容管理系统(以下简称KYXSCMS)提供一个轻量级小说网站解决方案,基于ThinkPHP5.1+MySQL的技术开发。KYXSCMS,灵活,方便,人性化设计简单易用是最大的特色,是快速架设小说类网站首选,只需5分钟即可建立一个海量小说的行业网站,批量采集目标网站数据或使用数据联盟,即可自动采集获取大量数据。内置标签模版,即使不懂代码的前端开发者也可以快速建立一个漂亮的小说网站。建站手动创建数据库,这里库名为kycms填好信息进行安装安装完成,直接进入后台admin admin漏洞复现文件包含后台可以修改模板文件,在模板文件中调用模板代码可实现文
zzzcms(php) v1.7.5 前台SQL注入及其他
0x01 前言本文是对zzzcms php版v1.7.5进行审计的分享(勉强称之为0day),审计目标是从前台到后台再到任意代码执行。对于zzzcms的分析和审计文章也不少了,但是一些文章分析的内容和漏洞点在v1.7.5版本已经进行了修复,因此本文在此基础上进一步进行审计和分析,以挖掘更多的内容。0x02 SSRF(凑数)存在这个问题的接口主要功能是远程下载保存图片,但是后缀限制死了,因此远程下载webshell的目的应该是达不到了,退而求其次也可以作为SSRF利用,比如需要获取目标主机的真实IP地址的场景下。功能实现在plugins/ueditor/php/controller.php传入的post参数进入safe_url函数进行处理,然
代码审计 | SiteServerCMS身份认证机制
一、前言
SiteServerCMS是一款开源免费的企业级CMS系统,功能比较丰富,代码一多起来,难免会有些漏洞产生,之前应急响应碰到过几次这个系统,有些问题修复了,有些问题依然还在,趁着整理之前零散的资料,结合6.14.0版本写个总结。
SiteServerCMS有多种身份认证方式,这里以最常见的Cookie认证来展开分析:
官网: https://www.siteserver.cn/
Github: https://github.com/siteserver/cms/releases
二、身份认证
2.1 登录框
从何说起呢?渗透,经常开局就只有一个登录框,有时还有验证码,那就从登录框开始吧,SiteServerCMS是后台管理+前台内容
某CMS的多处SQL注入审计分析
前言某天挖完洞闲来无事浏览CNVD看到某CMS更新了一溜的SQL注入,似乎起了强迫症,于是准备分析一下,顺便填充一下工作内容(哈哈题外话请忽略),其实是个小众CMS,分析起来也不算难,后台的比较简单,主要看前台的。版本:2.0.2SQL注入1-后台de***.php对应CNVD编号:CNVD-2020-12871漏洞出现在在后台文件de***.php中,de***_add函数对GET和POST参数先进行了是否empty判断,最终将传入的几个参数传给了edit_admin_department。跟入edit_admin_department,对参数依次进行了处理,但是发现只有$departmentname,$olddepartmentname
WellCMS 2.0 Beta3 后台任意文件上传
一、概述WellCMS是一款开源、倾向移动端的轻量级CMS,高负载CMS,亿万级CMS,是大数据量、高并发访问网站最佳选择的轻CMS。登陆该CMS后台,某图片上传处,由于上传文件类型可控,可修改上传文件类型获取webshell。二、复现这个漏洞来自一次偶然的测试,一次幸运的测试,那就直接写出我的测试过程。第一步,登陆该CMS后台:第二步,进入“后台管理“,定位利用点,点击下图红框中图片进行上传:上传并抓取数据包:第三步,修改post包中“filetype”参数类型为“php”;经分析 “data”参数为base64加密,这里我们将测试数据“<?php phpinfo();?>”经过base64加密等构造,形成“data”参数的数
发布时间:2020-03-02 13:22 |
阅读:14320 | 评论:0 |
标签:cms
打怪升级之CmsEasy代码审计小记
0x01 前言最近疫情形势开始好转了,为了在漫长假期中保持学习,对CmsEasy的7.3.8版本进行了代码审计,也为之后自动化审计积累经验CmsEasy是一个企业建站管理系统,是一个半开源的建站系统,其中部分核心代码被加密混淆过。审计时最新版本是更新于2019-12-30的7.3.8版本,审计中发现这个CMS出现了多个类型的安全问题,整体安全性有待提高。(下文分享的安全问题均已上报并修复,目前官网最新版是V7.5.3_20200209,更新于 2020-02-09)通过搜索引擎发现使用该系统的站点数量还是比较多的0x02 任意文件操作“无需代码,自由拖拽布局,适应所有设备”是这个系统宣传的特色,后台自然地存在自定义网站模板功能,这种功能中如
MyuCMS_V2.1漏洞分析
前言在CNVD看到一个MyuCMS的一个任意文件删除漏洞。然后去搜了下这个CMS,发现官网公告显示在V2.2.3版本修复了CNVD提供的多处漏洞。怀着好奇的心里,去CNVD搜了下这个CMS,结果发现V2.1版本存在多处高危漏洞。既然这样,就来分析下这些漏洞产生的原因和利用方式。过程分析MyuCMS_V2.1 基于 Thinkphp 5.0.24 开发。下载链接可以在官方社区找到。前台任意文件下载既然是文件下载,先在整个项目中搜索下 download 关键字,尝试看看能不能直接定位到关键代码。通过搜索定位到 bbs 模块下的 Index 控制器的 download 方法。download 方法接受三个参数,这三个参数我们是完全可控的,单从 d
QCMS代码审计:XSS+SQL+后台getshell
qcms是一款比较小众的cms,最近更新应该是17年,代码框架都比较简单,但问题不少倒是。。。网站介绍QCMS是一款小型的网站管理系统。拥有多种结构类型,包括:ASP+ACCESS、ASP+SQL、PHP+MYSQL采用国际标准编码(UTF-8)和中文标准编码(GB2312)功能齐全,包括文章管理,产品展示,销售,下载,网上社区,博客,自助表单,在线留言,网上投票,在线招聘,网上广告等多种插件功能程序和网页代码分离支持生成Google、Baidu的网站地图建站说实话,官网写的是4.0.,安装确实3.0,然后下面写的是2.0,确实让人摸不清头脑手动创建数据库即可,需要注意数据库要用MySQL5.0版本,向上会报错数据库:qcms后台账号密码:
zzzcms php 1.7.5版本代码审计初探
1.7.5版本1. 后台寻找后台寻找方法,该后台大部分admin+三位数字,所以可以采用爆破的方式获取后台地址 该后台地址为admin3712. 验证码问题(1) 管理员登录面验证码登录在 admin371/login.php 19行可以看出get_cookie('adminname')不为空就可以绕过,如何获得get_cookie('adminname')的值在24行可以看出如果存在密码的话会返回cookie中adminpass值,根据返回的adminpass的形式可以推断出adminname的值可以看到adminpass为zzz920_adminpass,所以推断adminname为zzz920_adminname可以看到已经在无验
YzmCMS 5.4 后台getshell
前言这个CMS是EIS2019的一道题目ezcms,当时没有做出来,本想等wp学习一下,没想到官方wp没有给出这道题的题解,因为该cms还没修复漏洞,结果等到作者后面修复了漏洞发布了5.5版本,出题人也忘记发wp了。所以决定自己再来分析一下补丁看能不能找到漏洞点。因为这个补丁不只是修复了安全漏洞,而是一次大版本的更新,更新的文件有100多个,更新日志也只是简单提到修复了安全问题,所以我找到的这2个漏洞点不一定包括了所有问题,而且都是后台getshell,仅供大家参考。另外默认安装后,管理员的用户名密码就是yzmcms/yzmcms。缓存文件写入造成getshell漏洞分析发现的第一个问题出现在缓存文件写入函数处,文件为yzmphp/core
发布时间:2020-02-20 12:09 |
阅读:12624 | 评论:0 |
标签:cms
ssycms代码审计:后台存储型XSS
审计了一个比较小众的cms,官网提供了两个版本,基础版和ugc投稿版版,后者相对前者提供了用户注册投稿等功能,以下漏洞针对两个版本都存在网站介绍SSYCMS内容管理系统采用热门框架,方便开发者二次开发系统,前台采用Bootstrap4.x,后台采用vue2.x、iview3.x。系统使用Thinkphp5.x框架,架构模式为PHP+MYSQL建站只需要注意手动创建数据库,其他没什么漏洞演示首先登陆后台在内容->全部内容处添加内容即可,需要注意标题和标签字段可以直接触发,描述和关键词字段需要闭合,内容字段则不能触发结果如图所示同样可以触发的还有功能->单个页面处,这里也可以自定义页面的路由,同样标题直接触发,关键词和描述需要闭合如
Yunucms代码审计:后台XSS和数据库信息泄露
最近在审计yunucms,审计了几个后台漏洞,有XSS和文件泄露几个。yunucms介绍云优CMS是一款基于TP5.0框架为核心开发的一套免费+开源的城市分站内容管理系统。云优CMS前身为远航CMS。云优CMS于2017年9月上线全新版本,二级域名分站,内容分站独立,七牛云存储,自定义字段,自定义表单,自定义栏目权限,自定义管理权限等众多功能深受用户青睐。建站从官网下载源码并进行过安装需要注意的是需要填云账号,我去官网注册了一个随便填上了,账号testqwe,密码123456,手机号利用的在线短信注册的填上MySQL密码即可前台界面漏洞复现XSS漏洞测试后台TAG管理模块进行添加TAG在名称处填入XSS代码并提交返回模块即可看到效果查看源码
各cms安装处任意文件读取(MySQL connect file read)
周末在公司打酱油,看到监控的某个漏洞平台上出现了很多个新的漏洞,漏洞标题都是 xx cms 安装处任意文件读取。
不明所以,加了漏洞提交者的微信,看看了提交者在某大会的演讲ppt,在微信群问了温,Goolge了一下,看到几篇文章,很涨姿势,贴上各文章的URL,记录一下以后可能会用到。
https://xz.aliyun.com/t/3973
http://russiansecurity.expert/2016/04/20/mysql-connect-file-read/
https://w00tsec.blogspot.com/2018/04/abusing-mysql-local-infile-to-read.html
https://github.com/Gifts/Rogue-MySql-Server/b
maccms v8 80w字符远程命令执行(RCE)漏洞
之前很多使用maccms电影站被挂马,表现为title修改,xml顶添加js网马等症状等,这就是《maccms 80w字符RCE》,仅影macms v8版本,maccms v10不受影响。漏洞复现首先通过正则回溯来绕过360 waf,然后通过可控参数 wd 传入我们的 payload,payload 传入$this-H,然后绕过判断传入 eval 中执行。采用正则回溯,绕过360waf:这个漏洞只能是非默认模板才可以,更多详情。
FineCMS v2.1.5前台一处XSS+CSRF可getshell
FineCMS一个XSS漏洞分析FineCMS是一套用CodeIgniter开发的中小型内容管理系统,目前有三个分支:1.x,2.x,5.x,这次分析的是2.x的最新版2.1.5一、用户输入既然是XSS,那么就一定有用户的输入以及输出。// controllersmemberInfoController.php
public function avatarAction() {
if (empty($this->memberconfig['avatar']) && $this->isPostForm()) {
$data = $this->input->post('data', TRUE);
$this->member->
finecms前台任意文件上传
前台头像上传的地方任意文件上传 public function upload() {
// 创建图片存储文件夹
$dir = SYS_UPLOAD_PATH.'/member/'.$this->uid.'/';
@dr_dir_delete($dir);
!is_dir($dir) && dr_mkdirs($dir);
if ($_POST['tx']) {
$file = str_replace(' ', '+', $_POST['tx']);
if (preg_match('/^(data:s*image/(w+);base64,)/', $fil
发布时间:2019-12-21 21:40 |
阅读:26333 | 评论:0 |
标签:cms
公告
九层之台,起于累土;黑客之术,始于阅读