记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

狂雨cms代码审计:后台文件包含getshell

开学了课多了也是比较忙,花了好久才完成狂雨cms是款小说cms,照例先是网站介绍网站介绍狂雨小说内容管理系统(以下简称KYXSCMS)提供一个轻量级小说网站解决方案,基于ThinkPHP5.1+MySQL的技术开发。KYXSCMS,灵活,方便,人性化设计简单易用是最大的特色,是快速架设小说类网站首选,只需5分钟即可建立一个海量小说的行业网站,批量采集目标网站数据或使用数据联盟,即可自动采集获取大量数据。内置标签模版,即使不懂代码的前端开发者也可以快速建立一个漂亮的小说网站。建站手动创建数据库,这里库名为kycms填好信息进行安装安装完成,直接进入后台admin admin漏洞复现文件包含后台可以修改模板文件,在模板文件中调用模板代码可实现文
发布时间:2020-04-02 11:35 | 阅读:5594 | 评论:0 | 标签:cms 审计

zzzcms(php) v1.7.5 前台SQL注入及其他

0x01 前言本文是对zzzcms php版v1.7.5进行审计的分享(勉强称之为0day),审计目标是从前台到后台再到任意代码执行。对于zzzcms的分析和审计文章也不少了,但是一些文章分析的内容和漏洞点在v1.7.5版本已经进行了修复,因此本文在此基础上进一步进行审计和分析,以挖掘更多的内容。0x02 SSRF(凑数)存在这个问题的接口主要功能是远程下载保存图片,但是后缀限制死了,因此远程下载webshell的目的应该是达不到了,退而求其次也可以作为SSRF利用,比如需要获取目标主机的真实IP地址的场景下。功能实现在plugins/ueditor/php/controller.php传入的post参数进入safe_url函数进行处理,然
发布时间:2020-03-25 13:33 | 阅读:6140 | 评论:0 | 标签:注入 cms

代码审计 | SiteServerCMS身份认证机制

一、前言 SiteServerCMS是一款开源免费的企业级CMS系统,功能比较丰富,代码一多起来,难免会有些漏洞产生,之前应急响应碰到过几次这个系统,有些问题修复了,有些问题依然还在,趁着整理之前零散的资料,结合6.14.0版本写个总结。 SiteServerCMS有多种身份认证方式,这里以最常见的Cookie认证来展开分析: 官网: https://www.siteserver.cn/ Github: https://github.com/siteserver/cms/releases 二、身份认证 2.1 登录框 从何说起呢?渗透,经常开局就只有一个登录框,有时还有验证码,那就从登录框开始吧,SiteServerCMS是后台管理+前台内容
发布时间:2020-03-11 08:36 | 阅读:12585 | 评论:0 | 标签:WEB安全 漏洞 代码审计 开源 身份认证 cms 审计

某CMS的多处SQL注入审计分析

前言某天挖完洞闲来无事浏览CNVD看到某CMS更新了一溜的SQL注入,似乎起了强迫症,于是准备分析一下,顺便填充一下工作内容(哈哈题外话请忽略),其实是个小众CMS,分析起来也不算难,后台的比较简单,主要看前台的。版本:2.0.2SQL注入1-后台de***.php对应CNVD编号:CNVD-2020-12871漏洞出现在在后台文件de***.php中,de***_add函数对GET和POST参数先进行了是否empty判断,最终将传入的几个参数传给了edit_admin_department。跟入edit_admin_department,对参数依次进行了处理,但是发现只有$departmentname,$olddepartmentname
发布时间:2020-03-05 12:04 | 阅读:15767 | 评论:0 | 标签:注入 cms 审计

WellCMS 2.0 Beta3 后台任意文件上传

一、概述WellCMS是一款开源、倾向移动端的轻量级CMS,高负载CMS,亿万级CMS,是大数据量、高并发访问网站最佳选择的轻CMS。登陆该CMS后台,某图片上传处,由于上传文件类型可控,可修改上传文件类型获取webshell。二、复现这个漏洞来自一次偶然的测试,一次幸运的测试,那就直接写出我的测试过程。第一步,登陆该CMS后台:第二步,进入“后台管理“,定位利用点,点击下图红框中图片进行上传:上传并抓取数据包:第三步,修改post包中“filetype”参数类型为“php”;经分析 “data”参数为base64加密,这里我们将测试数据“<?php phpinfo();?>”经过base64加密等构造,形成“data”参数的数
发布时间:2020-03-02 13:22 | 阅读:14320 | 评论:0 | 标签:cms

打怪升级之CmsEasy代码审计小记

0x01 前言最近疫情形势开始好转了,为了在漫长假期中保持学习,对CmsEasy的7.3.8版本进行了代码审计,也为之后自动化审计积累经验CmsEasy是一个企业建站管理系统,是一个半开源的建站系统,其中部分核心代码被加密混淆过。审计时最新版本是更新于2019-12-30的7.3.8版本,审计中发现这个CMS出现了多个类型的安全问题,整体安全性有待提高。(下文分享的安全问题均已上报并修复,目前官网最新版是V7.5.3_20200209,更新于 2020-02-09)通过搜索引擎发现使用该系统的站点数量还是比较多的0x02 任意文件操作“无需代码,自由拖拽布局,适应所有设备”是这个系统宣传的特色,后台自然地存在自定义网站模板功能,这种功能中如
发布时间:2020-02-28 10:15 | 阅读:19350 | 评论:0 | 标签:cms 审计

MyuCMS_V2.1漏洞分析

前言在CNVD看到一个MyuCMS的一个任意文件删除漏洞。然后去搜了下这个CMS,发现官网公告显示在V2.2.3版本修复了CNVD提供的多处漏洞。怀着好奇的心里,去CNVD搜了下这个CMS,结果发现V2.1版本存在多处高危漏洞。既然这样,就来分析下这些漏洞产生的原因和利用方式。过程分析MyuCMS_V2.1 基于 Thinkphp 5.0.24 开发。下载链接可以在官方社区找到。前台任意文件下载既然是文件下载,先在整个项目中搜索下 download 关键字,尝试看看能不能直接定位到关键代码。通过搜索定位到 bbs 模块下的 Index 控制器的 download 方法。download 方法接受三个参数,这三个参数我们是完全可控的,单从 d
发布时间:2020-02-27 12:09 | 阅读:12846 | 评论:0 | 标签:cms 漏洞

QCMS代码审计:XSS+SQL+后台getshell

qcms是一款比较小众的cms,最近更新应该是17年,代码框架都比较简单,但问题不少倒是。。。网站介绍QCMS是一款小型的网站管理系统。拥有多种结构类型,包括:ASP+ACCESS、ASP+SQL、PHP+MYSQL采用国际标准编码(UTF-8)和中文标准编码(GB2312)功能齐全,包括文章管理,产品展示,销售,下载,网上社区,博客,自助表单,在线留言,网上投票,在线招聘,网上广告等多种插件功能程序和网页代码分离支持生成Google、Baidu的网站地图建站说实话,官网写的是4.0.,安装确实3.0,然后下面写的是2.0,确实让人摸不清头脑手动创建数据库即可,需要注意数据库要用MySQL5.0版本,向上会报错数据库:qcms后台账号密码:
发布时间:2020-02-27 12:09 | 阅读:12742 | 评论:0 | 标签:xss cms 审计

zzzcms php 1.7.5版本代码审计初探

1.7.5版本1. 后台寻找后台寻找方法,该后台大部分admin+三位数字,所以可以采用爆破的方式获取后台地址 该后台地址为admin3712. 验证码问题(1) 管理员登录面验证码登录在 admin371/login.php 19行可以看出get_cookie('adminname')不为空就可以绕过,如何获得get_cookie('adminname')的值在24行可以看出如果存在密码的话会返回cookie中adminpass值,根据返回的adminpass的形式可以推断出adminname的值可以看到adminpass为zzz920_adminpass,所以推断adminname为zzz920_adminname可以看到已经在无验
发布时间:2020-02-24 13:23 | 阅读:11795 | 评论:0 | 标签:cms 审计

YzmCMS 5.4 后台getshell

前言这个CMS是EIS2019的一道题目ezcms,当时没有做出来,本想等wp学习一下,没想到官方wp没有给出这道题的题解,因为该cms还没修复漏洞,结果等到作者后面修复了漏洞发布了5.5版本,出题人也忘记发wp了。所以决定自己再来分析一下补丁看能不能找到漏洞点。因为这个补丁不只是修复了安全漏洞,而是一次大版本的更新,更新的文件有100多个,更新日志也只是简单提到修复了安全问题,所以我找到的这2个漏洞点不一定包括了所有问题,而且都是后台getshell,仅供大家参考。另外默认安装后,管理员的用户名密码就是yzmcms/yzmcms。缓存文件写入造成getshell漏洞分析发现的第一个问题出现在缓存文件写入函数处,文件为yzmphp/core
发布时间:2020-02-20 12:09 | 阅读:12624 | 评论:0 | 标签:cms

ssycms代码审计:后台存储型XSS

审计了一个比较小众的cms,官网提供了两个版本,基础版和ugc投稿版版,后者相对前者提供了用户注册投稿等功能,以下漏洞针对两个版本都存在网站介绍SSYCMS内容管理系统采用热门框架,方便开发者二次开发系统,前台采用Bootstrap4.x,后台采用vue2.x、iview3.x。系统使用Thinkphp5.x框架,架构模式为PHP+MYSQL建站只需要注意手动创建数据库,其他没什么漏洞演示首先登陆后台在内容->全部内容处添加内容即可,需要注意标题和标签字段可以直接触发,描述和关键词字段需要闭合,内容字段则不能触发结果如图所示同样可以触发的还有功能->单个页面处,这里也可以自定义页面的路由,同样标题直接触发,关键词和描述需要闭合如
发布时间:2020-02-19 09:38 | 阅读:15253 | 评论:0 | 标签:xss cms 审计

Yunucms代码审计:后台XSS和数据库信息泄露

最近在审计yunucms,审计了几个后台漏洞,有XSS和文件泄露几个。yunucms介绍云优CMS是一款基于TP5.0框架为核心开发的一套免费+开源的城市分站内容管理系统。云优CMS前身为远航CMS。云优CMS于2017年9月上线全新版本,二级域名分站,内容分站独立,七牛云存储,自定义字段,自定义表单,自定义栏目权限,自定义管理权限等众多功能深受用户青睐。建站从官网下载源码并进行过安装需要注意的是需要填云账号,我去官网注册了一个随便填上了,账号testqwe,密码123456,手机号利用的在线短信注册的填上MySQL密码即可前台界面漏洞复现XSS漏洞测试后台TAG管理模块进行添加TAG在名称处填入XSS代码并提交返回模块即可看到效果查看源码
发布时间:2020-02-10 12:27 | 阅读:17374 | 评论:0 | 标签:xss cms 审计

各cms安装处任意文件读取(MySQL connect file read)

周末在公司打酱油,看到监控的某个漏洞平台上出现了很多个新的漏洞,漏洞标题都是 xx cms 安装处任意文件读取。 不明所以,加了漏洞提交者的微信,看看了提交者在某大会的演讲ppt,在微信群问了温,Goolge了一下,看到几篇文章,很涨姿势,贴上各文章的URL,记录一下以后可能会用到。 https://xz.aliyun.com/t/3973 http://russiansecurity.expert/2016/04/20/mysql-connect-file-read/ https://w00tsec.blogspot.com/2018/04/abusing-mysql-local-infile-to-read.html https://github.com/Gifts/Rogue-MySql-Server/b
发布时间:2020-02-10 11:04 | 阅读:28049 | 评论:0 | 标签:渗透测试 mysql connect file read mysql连接任意文件读取 cms

maccms v8 80w字符远程命令执行(RCE)漏洞

之前很多使用maccms电影站被挂马,表现为title修改,xml顶添加js网马等症状等,这就是《maccms 80w字符RCE》,仅影macms v8版本,maccms v10不受影响。漏洞复现首先通过正则回溯来绕过360 waf,然后通过可控参数 wd 传入我们的 payload,payload 传入$this-H,然后绕过判断传入 eval 中执行。采用正则回溯,绕过360waf:这个漏洞只能是非默认模板才可以,更多详情。
发布时间:2020-02-01 13:10 | 阅读:30547 | 评论:0 | 标签:cms 漏洞

FineCMS v2.1.5前台一处XSS+CSRF可getshell

FineCMS一个XSS漏洞分析FineCMS是一套用CodeIgniter开发的中小型内容管理系统,目前有三个分支:1.x,2.x,5.x,这次分析的是2.x的最新版2.1.5一、用户输入既然是XSS,那么就一定有用户的输入以及输出。// controllersmemberInfoController.php public function avatarAction() { if (empty($this->memberconfig['avatar']) && $this->isPostForm()) { $data = $this->input->post('data', TRUE); $this->member->
发布时间:2019-12-21 21:40 | 阅读:27893 | 评论:0 | 标签:xss CSRF cms

finecms前台任意文件上传

前台头像上传的地方任意文件上传 public function upload() { // 创建图片存储文件夹 $dir = SYS_UPLOAD_PATH.'/member/'.$this->uid.'/'; @dr_dir_delete($dir); !is_dir($dir) && dr_mkdirs($dir); if ($_POST['tx']) { $file = str_replace(' ', '+', $_POST['tx']); if (preg_match('/^(data:s*image/(w+);base64,)/', $fil
发布时间:2019-12-21 21:40 | 阅读:26333 | 评论:0 | 标签:cms

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云