EmpireCMS(帝国CMS) 最新版(v7.5)已知漏洞汇总

ECMSPLUS | 2021-02-20 18:53:43 |

摘要:EmpireCMS(帝国CMS) 最新版(v7.5)一处后台getshell, 比较鸡肋,还是需要弄到管理员权限,登陆到后台 , 首先,需要进入你的后台……你后台密码不是admin等简单字符串...

近期很多帝国程序被非法篡改,我这里总结了一些信息给大家参考,建议尽快检查网站是否有以下几处漏洞未处理。5SvECMSPLUS
 

已知漏洞

EmpireCMS前台XSS漏洞5SvECMSPLUS
EmpireCMS安装处任意文件读取5SvECMSPLUS
EmpireCMS最新版(v7.5)一处后台getshell5SvECMSPLUS
EmpireCMS后台任意代码执行

安全检查

后台密码 (需要足够复杂,并使用安全认证码,修改登陆入口)5SvECMSPLUS
密码重置插件 (如果之前使用过,建议检查是否删除)5SvECMSPLUS
安装文件(一定要删除)5SvECMSPLUS
后台备份数据库 (建议删除相关文件)5SvECMSPLUS
首页模板方案 (建议删除相关文件)5SvECMSPLUS
5SvECMSPLUS
导入系统模型 (建议删除相关文件)5SvECMSPLUS
留言 (建议删除相关文件或者禁用)5SvECMSPLUS
会员功能和会员空间(如无必要删除或者禁用)5SvECMSPLUS
 5SvECMSPLUS

5SvECMSPLUS
EmpireCMS(帝国cms) 最新版(v7.5)一处后台getshell, 比较鸡肋,还是需要弄到管理员权限,登陆到后台 , 首先,需要进入你的后台……你后台密码不是admin等简单字符串可以忽略 .5SvECMSPLUS
使用帝国cms重置密码插件未删除,后台密码过于简单会造成程序非常大的隐患。5SvECMSPLUS
5SvECMSPLUS
可被利用的部分使用场景:

后台备份数据库

开启抓包代理,使用Burp抓包,再点击开始备份5SvECMSPLUS
5SvECMSPLUS
把参数tablename的值改为phpifno()5SvECMSPLUS
5SvECMSPLUS
关闭抓包,php的版本参数直接就出来了5SvECMSPLUS
5SvECMSPLUS
查看备份说明再将地址栏的redame.txt改为config.php5SvECMSPLUS
查看目录文件upload\e\admin\ebak\phome.php,备份数据库的参数5SvECMSPLUS
第72行,接收备份数据库传递的参数,然后传递给Ebak_DoEbak函数中。5SvECMSPLUS
然后传递到upload\e\admin\ebak\class\functions.php文件中的EbakDOEbak函数中。EbakDOEbak函数接受参数后,将数据库表名传递给变量$tablename。5SvECMSPLUS
继续浏览代码,可以看到,遍历表名并赋值给btable、b_table、bt​able、d_table,使用RepPostVar函数对表名进行处理,其中dtable拼接成d_table拼接成dt​able拼接成tb数组时没有对键值名添加双引号。5SvECMSPLUS
在生成config.php文件的过程中,对于$d_table没有进行处理,直接拼接到生成文件的字符串中,导致任意代码执行漏洞。5SvECMSPLUS

导入系统模型

生成一个1.php.mod文件,内容为,记得为php代码

file_put_contents("p0desta.php","<?php phpinfo(); ?>");

访问 /e/admin/shell.php

1)e\admin\ecmsmod.php导入模型

2)跟随LoadInMod函数来到\class\moddofun.php

3)上传之后下面用include进行包含一次,既执行一次上传php代码。php代码钟写入一个新shell。既在e/admin/目录下生成一个shell.php

一、漏洞描述

该漏洞是由于安装程序时没有对用户的输入做严格过滤,导致用户输入的可控参数被写入配置文件,造成任意代码执行漏洞。

二、漏洞复现

1、漏洞出现位置如下图,phome_表前缀没有被严格过滤导致攻击者构造恶意的代码

2、定位漏洞出现的位置,发现在/e/install/index.php,下图可以看到表名前缀phome_,将获取表名前缀交给了mydbtbpre参数。

3、全文搜索,$mydbtbpre,然后跟进参数传递,发现将用户前端输入的表前缀替换掉后带入了sql语句进行表的创建,期间并没有对前端传入的数据做严格的过滤

4、创建表的同时将配置数据和可以由用户控制的表前缀一起写入到config.php配置文件

5、通过对整个install过程的代码分析,可以发现没有对用户数据进行过滤,导致配置文件代码写入。

5.1、burp对漏洞存在页面进行抓包,修改phome参数的值,构造payload,payload如下:

‘;phpinfo();//

5.2、在burp中的phome参数的值中输入特殊构造的payload

6、查看config.php配置文件,发现成功写入配置文件

7、再次访问安装结束的页面, /e/install/index.php?enews=moddata&f=4&ok=1&defaultdata=1

8、构造特殊的payload getshell

9、菜刀连接,成功getshell



 

免责/版权声明:

1、所有来源标注为 ECMSPLUS /ecmsplus.com的内容版权均为本站所有,若您需要引用、转载,只需要注明来源及原文链接即可,如涉及大面积转载,请来信告知,获取授权。

2、本站所提供的文章资讯、软件资源、素材源码等内容均为作者提供、网友推荐、互联网整理而来(部分报媒/平媒内容转载自网络合作媒体),仅供学习参考,如有侵犯您的版权,请联系我们,本站将在三个工作日内改正。

3、若您的网站或机构从本站获取的一切资源进行商业使用,除来源为本站的资料需与本站协商外,其他资源请自行联系版权所有人。

4、 ECMSPLUS /ecmsplus.com不保证资源的准确性、安全性和完整性,请您在阅读、下载及使用过程中自行确认,本站亦不承担上述资源对您或您的网站造成的任何形式的损失或伤害

5、未经 ECMSPLUS /ecmsplus.com允许,不得盗链、盗用本站资源;不得复制或仿造本网站,不得在非 ECMSPLUS /ecmsplus.com所属的服务器上建立镜像, ECMSPLUS /ecmsplus.com对其自行开发的或和他人共同开发的所有内容、技术手段和服务拥有全部知识产权,任何人不得侵害或破坏,也不得擅自使用。

6、互联网的本质是自由与分享,我们真诚的希望,每一份有价值的正能量能够在互联网中自由传播,能够为每一个网站提供动力。

标签:
精品源码
  • 帝国cms7.5精仿企业信息综合门户《莞商网》(原创)

    惊爆价¥1500.00

    立即购买
    帝国cms7.5精仿企业信息综合门户《莞商网》(原创)
  • 二维码种子溯源系统,一物一码防伪验证查询(单用户版) 支持定制开发

    惊爆价¥1500.00

    立即购买
    二维码种子溯源系统,一物一码防伪验证查询(单用户版) 支持定制开发
  • 厂房网,厂房出租,厂房出售,仓库出租,园区招商商铺厂房网整站源码

    惊爆价¥1999.00

    立即购买
    厂房网,厂房出租,厂房出售,仓库出租,园区招商商铺厂房网整站源码
看点推荐
精选文章

站长交流群

互联网站长技术交流群
共同学习,共同进步,共同成长!

QQ交流群

推荐文章

EmpireCMS(帝国CMS) 最新版(v7.5)已知漏洞汇总

帝国第三方登陆:微信内部登陆+扫码登陆2.0安装说明与使用方法

帝国cms百度Webupload批量上传组件,支持前台投稿

帝国cms通过用灵动标签的SQL语句查询来调用栏目导航

帝国cms图片集字段morepic分割,自定义图片集显示

帝国cms 技巧整理笔记,持续更新中

帝国cms 技巧整理笔记:常用变量,COOKIE获取和系统模板

最新文章

热门标签

关注我们

微信扫一扫,关注更多精彩

  • 公众号
    全面掌握源码一手资讯

  • 服务号
    精彩活动,推送提醒

垂询热线:18680688182

商务合作:0769-8700 9090
文章投稿: