记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

极致CMS两处漏洞复现/存储xss/文件上传Getshell

0x00产品介绍影响产品/版本:极致CMS=>v 1.5 <=v 1.7厂商目前已修复见官网更新0x01测试过程:漏洞名称:存储xss,前台打后台管理员cookie黑盒过程:首先我们在后台创建一个允许用户发布文章的栏目前台发表文章,xss在标题位置来到后台,点开标题,成功弹框成功执行与存储打COOKIE试试,成功获取cookie成功获取cookie,因为是本地演示的,所以就不用xss平台来打了白盒过程:根据一路追踪发现目录A是网站目录的后台文件,后端文件审计没问题来看看前端文件tql代码审计发现是问题出现在前端文件article-list.html内的问题191行 这里这里没有实体化编码导致的后台存储xss漏洞输出函数未经过滤没
发布时间:2020-07-01 12:41 | 阅读:6244 | 评论:0 | 标签:xss cms 漏洞

PbootCMS任意代码执行

前言今天看到该cms进行了更新,分享一下前段时间发现的一处安全问题漏洞利用写此文时笔者使用的是2.0.9测试版本,发布时间为2020-05-05,最新更新时间为2020-06-18在github上下载源码https://github.com/hnaoyun/PbootCMS安装后去https://www.pbootcms.com/freesn/获取授权码,登录后台添加授权码即可正常登录后台,在站点信息中插入如下代码并且保存保存后我们来到前台首页,使用burpsuite进行抓包,将数据包中的cookie头设为assert,Proxy-Connection头设置为想要执行的php代码,测试图片中使用的代码为system('whoami') 如
发布时间:2020-06-29 10:25 | 阅读:5381 | 评论:0 | 标签:cms

极致CMS存储XSS|前台打后台COOKIE漏洞复现

影响产品/版本:极致CMS >=v 1.5 <=v 1.7厂商目前已修复见官网更新测试过程:黑盒过程:首先我们在后台创建一个允许用户发布文章的栏目前台发表文章,xss在标题位置来到后台,点开标题,成功弹框成功执行与存储打COOKIE试试,成功获取cookie成功获取cookie,因为是本地演示的,所以就不用xss平台来打了白盒过程:代码审计发现是前端文件article-list.html内的问题文件article-list.html191行这里这里没有实体化编码导致的xss漏洞输出函数未经过滤没有实体化编码修复建议 1.去掉该功能,很鸡肋。没鸟用2.在输出函数上实体化编码3.文章发表那块增加xss等过滤函数By h4ck
发布时间:2020-06-18 13:59 | 阅读:6571 | 评论:0 | 标签:xss cms 漏洞

LFCMS的一次审计

前言最近想着提升一下审计代码的能力,于是找了一些小众的CMS系统来审计一下,希望可以在审计过程中对MVC设计模式的程序有更深的理解,本文挑选了一个小众的影视管理系统LFCMS,下载地址见文末漏洞分析前台sql注入(一)该处前台注入点实质上是由于程序所采用的框架漏洞所导致的,程序采用了thinkphp3.2.2,众所周知该版本的tp框架存在sql注入,详细分析文章可以参考下面的链接:https://xz.aliyun.com/t/2629回到lfcms,漏洞起始点位于/Application/Home/Controller/NewsController.class.php中的index方法,代码如下在代码第六行调用了News模型中的detai
发布时间:2020-06-08 11:50 | 阅读:10821 | 评论:0 | 标签:cms 审计

Monstra CMS RCE漏洞分析(CVE-2020-13384)

前言MonstraCMS是一套基于PHP与XML的现代化的轻量级内容管理系统,整套系统无需使用数据库,据说是一家乌克兰的公司开发的。Monstra CMS 3.0.4版本中存在着一处安全漏洞,该漏洞源于程序没有正确验证文件扩展名。攻击者可以上传特殊后缀的文件执行任意PHP代码。但是通过分析后发现,这个漏洞的触发是依靠具体环境而来的,下文会详细介绍。漏洞分析首先看一下Monstra CMS的功能页面可以发现有一个文件上传功能。通过阅读后台代码可知,程序是通过黑名单机制限制文件上传的类型:上图即是程序中用来限制上传的黑名单。程序不允许'html', 'htm', 'js', 'jsb', 'mhtml', 'mht', 'php', 'phtm
发布时间:2020-06-08 11:50 | 阅读:10165 | 评论:0 | 标签:cms 漏洞 CVE

某cms代码审计引发的思考

0x01、前言在CNVD闲逛的时候看到这款CMS,发现常见的用于getshell的漏洞都有人提交过,顿时来了兴趣,下载下来经过审计发现漏洞的利用方式和常规方法稍有不同,尤其是对于文件上传的漏洞来说,在以前的测试中主要集中在图片附件之类的地方,在当下基本都通过白名单方式来限制上传的情况下,如果CMS中存在一些在线升级或者下载插件的功能,如果我们能替换从远端下载的程序为自己的可执行脚本也不失为一种文件上传的好方法0x02、从安装插件到任意文件上传POST /admin.php/Plugins/update.html HTTP/1.1Host: 127.0.0.1:8091User-Agent: Mozilla/5.0 (Windows NT 1
发布时间:2020-05-25 09:42 | 阅读:15344 | 评论:0 | 标签:cms 审计

YCCMS代码审计(新手教学方向)

前言在逛CNVD时发现这款CMS存在不少常见的漏洞,并且看样子漏洞没有修复,一时好奇就下载下来看了看。经过简单的分析发现该CMS触发漏洞的方式挺常见的,正好可以从代码方面 分析一下这些漏洞的成因,加深对一些常见漏洞的理解 CMS下载地址: http://ahdx.down.chinaz.com/202003/yccms_v3.4.rar基础知识该CMS采用的是MVC框架,MVC全名是Model View Controller,是模型(model)-视图(view)-控制器(controller)的缩写。用一种业务逻辑、数据、界面显示分离的方法组织代码,将业务逻辑聚集到一个部件里面,在改进和个性化定制界面及用户交互的同时,不需要重新编
发布时间:2020-05-21 09:44 | 阅读:16384 | 评论:0 | 标签:cms 审计

代码审计:PbootCMS2.07内核处理缺陷导致的一个前台任意文件包含漏洞分析

挖出来之后看了下官网发现不到半个月之前更新了最新版,下下来之后发现这洞修了..我吐了干脆直接发出来 分享下思路吧0x00漏洞分析漏洞发生在PbootCMS内核的模板解析函数中为了方便看直接上一个完整的Parser代码吧public function parser($file) { // 设置主题 $theme = isset($this->vars['theme']) ? $this->vars['theme'] : 'default'; //file形式:xxxxx/../../../可以双写穿越 $theme = preg_replace('/..(/|\)/',
发布时间:2020-05-19 12:02 | 阅读:13172 | 评论:0 | 标签:cms 漏洞 审计

CSZ CMS 1.2.7 xss分析与复现

CSZ CMS 1.2.7 xss分析与复现简介CSZ CMS是一个开源Web应用程序,允许管理网站上的所有内容和设置。CSZ CMS是在Codeigniter3的基础上构建的,并设计了Bootstrap3的结构,这应该使您的网站轻松响应。CSZ CMS基于服务器端脚本语言PHP,并使用MySQL或MariaDB数据库进行数据存储。CSZ CMS是开源的内容管理系统。漏洞概述拥有访问私有消息的未授权用户可以向管理面板嵌入Javascript代码。影响版本1.2.7环境搭建下载地址:https://sourceforge.net/projects/cszcms/files/install/CSZCMS-V1.2.7.zip/download按
发布时间:2020-05-18 13:11 | 阅读:15297 | 评论:0 | 标签:xss cms

入门KKCMS代码审计

一、安装安装过程不再赘述,安装后打开站点如下图所示按CMS的介绍可以用来发卡或者来采集影视进行播放由于是新手导向,所以可能会比较详细(入门)其中部分文件二、验证码重用对比session和传入的verifycode是否相等每次失败访问后,都会进行刷新跳转,然后重新执行一次JS代码,但是由于Burp默认不解析js,所以这里存在验证码复用的漏洞搜索此参数,发现只在verifycode.php中才存在 $_SESSION['verifycode']生成0——9的随机4位验证码。此外,值得一提的是,许多站点存在验证码重用漏洞所用的代码和使用方法都和本文的案例一样。三、前台不能拿shell的上传漏洞由于此cms默认存在的编辑器为kindetior,并且
发布时间:2020-05-11 12:07 | 阅读:14689 | 评论:0 | 标签:cms 审计

代码审计——Semcms

 前言这是我审计的第一个CMS,由于这次代码审计的初衷只是为了学习代码审计中寻找SQL注入的思路及大致流程,所以这次审计仅针对SQL注入 相关环境源码信息 :semcms php 版外贸网站 V3.9本地环境 : phpstudy2014、seay代码审计工具cms官网地址 : http://www.sem-cms.com/下载地址 : http://ahdx.down.chinaz.com/201906/semcms_php_v3.9.zip 思路总结分析项目结构,分析配置文件,根据统一过滤存在的绕过问题,遗漏的变量进行代码审计SQL语句中变量没用单引号闭合的都可能绕过对项目结构要有了解,要有一定代码功底 审计前的分析一、项目结构分析/A_Admin为后台文件/
发布时间:2020-04-26 15:59 | 阅读:20925 | 评论:0 | 标签:cms 审计

使用codeql 挖掘 ofcms

 前言网上关于codeql的文章并不多,国内现在对codeql的研究相对比较少,可能是因为codeql暂时没有中文文档,资料也相对较少,需要比较好的英语功底,但是我认为在随着代码量越来越多,传统的自动化漏洞挖掘工具的瓶颈无法突破的情况下,codeql相当于是一种折中的办法,通过codeql的辅助,来减少漏洞挖掘人员的工作,更加关注漏洞的发现和利用过程之所以选ofcms,是因为有p0desta师傅之前的审计经验,而且使用codeql审计cms尚属第一次,所以选用了ofcms审计 ql构造在ql中,漏洞挖掘是根据污点追踪进行的,所以我们需要知道我们的挖掘的cms的source点在哪里,sink点在哪里,相对来说,source点比较固定,一般就是http的请求参数,请求
发布时间:2020-04-23 15:08 | 阅读:15832 | 评论:0 | 标签:cms

针对CMS的网络攻击中的快照回滚研究(三)

 这项研究有机会研究了超过300,000个不同网站生产的每晚备份。在此过程中评估了基于CMS的网站的攻击情况,并评估了备份和还原保护方案的有效性。令人惊讶的是,发现成千上万次攻击的演变表现出清晰的长期多阶段攻击模式。TARDIS,一种来源推断技术,它可以仅基于网站托管公司已经收集的每晚备份来调查和补救针对CMS的攻击。本文中将介绍TARDIS的在野部署和案例研究,以及相关工作和局限性。 0x01 Deploying TARDIS in the Wild在确认TARDIS的分析能够准确捕获基于CMS的网站备份中的攻击标签后,与CodeGuard合作,将TARDIS部署在其数据集的很大一部分上。利用此访问权从306个830个唯一网站(从2014年3月到2019年5月)
发布时间:2020-04-22 11:49 | 阅读:17534 | 评论:0 | 标签:cms 攻击

针对CMS的网络攻击中的快照回滚研究(二)

 这项研究有机会研究了超过300,000个不同网站生产的每晚备份。在此过程中评估了基于CMS的网站的攻击情况,并评估了备份和还原保护方案的有效性。令人惊讶的是,发现成千上万次攻击的演变表现出清晰的长期多阶段攻击模式。提出了TARDIS,一种来源推断技术,它可以仅基于网站托管公司已经收集的每晚备份来调查和补救针对CMS的攻击。在行业合作伙伴的帮助下,将TARDIS应用于这30万个网站的夜间备份,发现了20,591次攻击,持续时间为6到1,694天。 0x01 DesignA.时间相关和取证恢复现在,基于为每个快照收集的空间度量,TARDIS尝试在快照之间将这些指标临时关联起来,以识别在网站内发展的可疑活动。在这里,TARDIS被编程为在n天滑动的时间窗口内跟踪发展情
发布时间:2020-04-21 13:04 | 阅读:12560 | 评论:0 | 标签:cms 攻击

针对CMS的网络攻击中的快照回滚研究(一)

 全球超过55%的网站都在内容管理系统(CMS)上运行。不幸的是,庞大的用户群体使基于CMS的网站成为黑客的重要目标。更糟糕的是,绝大多数网站托管行业已转向“备份和还原”安全性模型,该模型依赖于容易出错的AV扫描程序来提示用户回滚到感染前的夜间快照。这项研究有机会研究了超过300,000个不同网站生产的每晚备份。在此过程中评估了基于CMS的网站的攻击情况,并评估了备份和还原保护方案的有效性。令人惊讶的是,发现成千上万次攻击的演变表现出清晰的长期多阶段攻击模式。 0x01 Introduction全球超过55%的网站都在内容管理系统(CMS)上运行,而WordPress控制着近60%的CMS市场。不幸的是,这种广泛采用已经导致针对CMS的网络攻击迅速增加。由于CMS
发布时间:2020-04-20 14:18 | 阅读:18842 | 评论:0 | 标签:cms 攻击

MKCMS代码审计小结

MKCMS代码审计小结MKCMS V6.2 (以下源码来自网络)MKCMS米酷影视源码6.2开源CMS下载地址链接:https://pan.baidu.com/s/1cZX5x9SbcXMCMXismfH4ow 提取码:k3ox备用下载地址:https://www.lanzous.com/ib7zwmh0x00 全局过滤分析/system/library.php:使用addslashes转义入参, 注意到$_SERVER未被过滤0x01 验证码重用/admin/cms_login.php验证码处的逻辑如下,比较session中的验证码和输入的是否一致,不一致就进入alert_href,这个js跳转,实际是在刷新页面/admin/cm
发布时间:2020-04-20 14:17 | 阅读:18739 | 评论:0 | 标签:cms 审计

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云