雷风影视CMS|雷风影视CMS v3.4.0代码审计之getshell
在雷风影视CMS最新版本中,其后台模板修改的地方由于对模板文件的保存路径没有进行有效的校验,导致攻击者可以构造恶意的保存路径,再加上攻击者可以控制保存的模板内容,从而导致getshell。
此CMS是基于ThinkPHP框架写的,存在漏洞的URL在/admin.php?s=Template/edit.html这个地方,根据ThinkPHP框架结构可以找到漏洞存在的文件路径是\Application\Admin\Controller\TemplateController.class.php,在此文件的58行处就是导致漏洞存在的关键地方,如下:
文章图片
可以看到,这里只是简单的把提交的URL参数中的path路径中的‘*’替换成‘/’符号,并没有对替换后组成的路径进行实质性的过滤,从而攻击者可以直接控制要保存的文件地址。这里实验选择要保存的shell文件位于网站根目录下的\Application\Common\Conf\tags.php文件,C('TPL_PATH')返回的结果代表着网站根目录下的Template目录,从而最终构造路径为Template/../Application/Common/Conf/tags.php,把‘/‘符号替换成‘*’符号后变成了Template*..*Application*Common*Conf*tags.php,去掉C('TPL_PATH')头部就是*..*Application*Common*Conf*tags.php了,最终如下:
文章图片
【雷风影视CMS|雷风影视CMS v3.4.0代码审计之getshell】执行上面的请求后,tags.php文件内容就变了,这里可以直接写入PHP代码来getshell,然后直接请求这个文件就可以看到效果,如下:
文章图片
CMS下载官网地址:http://www.lfdycms.com
推荐阅读
- 为什么不建议<=3G的情况下使用CMS|为什么不建议<=3G的情况下使用CMS GC
- 通过英语影视剧,快速学习英语的超实用的具体方法加步骤
- 墨者学院-CMS系统漏洞分析溯源(第8题)
- 优化eclipse,浅谈CMS
- 《悬崖之上》——谍战电影视觉谱系的新贡献
- eyoucms|eyoucms arclist循环中,判断如果是第一个li,则添加固定的css,否则不加
- JVM实用参数(七)CMS收集器
- MyCms|MyCms 自媒体 CMS 系统 v2.9,支持必应资源推送
- 模块化演变,ESM基础知识、与Node.js,CMS关系
- ModStartCMS模块化万能建站系统v3.1.0 API接口支持,小程序上线