“帝國”CMS是一套著名的PHP整站程序,是國內使用人數最多的PHPCMS程序之一。令人無奈的是,“帝國”雖然把勢力壯大了,卻忽略了自身防護的建設,結果在黑客攻擊下,“帝國”淪陷了。“帝國”CMS曝出的漏洞能夠讓黑客在1分鍾內拿到管理員的賬戶密碼,之后更能輕松獲取webshell。下面讓我們一起來對“帝國”CMS進行一次入侵檢測。
漏洞的成因:
都說安全是一個整體,千里之堤毀於蟻穴,往往一個看似堅不可摧的網站系統,在某個不被注意的角落出現了一個極小的疏忽,結果導致整個網站被黑客攻陷。“帝國”CMS正是這樣被攻破的,先讓我們來探索問題的究竟。
問題出在“帝國”CMS附帶的留言板程序上,由於留言板功能相對於“帝國”CMS而言顯得較為雞肋,因此很少有站長重視它,可問題卻偏偏出現在 留言板的代碼中。由於變量過濾不嚴,黑客可以在留言板中執行一些越權操作,例如讀取數據中的任意數值。當然要拿到管理員的賬戶和密碼也就不在話下了。
漏洞的利用:
暴出管理員賬戶名和密碼:
使用“帝國”CMS的網站很多,因此找測試的目標很容易。我們直接打開“帝國”的官方網站:,依次點擊導航欄處的“服務項目”→“部分案例”,這里鏈接了600多個采用“帝國”CMS的網站,足夠讓我們進行測試了。
我們在其中挑選一個打開進行測試,在網站域名后輸入:e/tool/gbook/?bid=1並回車,這樣就打開了“帝國”CMS的留言功能。觸發漏洞的步驟為:
Step1.在“姓名”處輸入:縗
Step2.在“聯系郵箱”處輸入:,1,1,1,(select concat(username,0x5f,password,0x5f,rnd) from phome_enewsuser where userid=1),1,1,1,0,0,0)/*
Step3.“留言內容”隨意填寫,輸入完畢后點擊“提交”按鈕。
如果漏洞成功觸發,我們會在留言列表中看到暴出的管理員賬戶名和密碼。但不要高興得太早,因為曝出的密碼是經過MD5加密的32位密文,如果破解不出是毫無意義的。
上傳webshell:
拿到管理員賬戶名和密碼后,我們就可以登錄網站后台了。在域名后輸入“e/admin/”並回車,出現登陸驗證頁面,輸入賬戶名admin和密碼進行登錄。
在后台我們依次點擊“模板管理”→“增加自定義”鏈接。在“增加自定義”頁面中,我們在“文件名”中輸入需要建立的webshell文件名,為了隱蔽性,最好取和網站自身文件比較接近的文件名,例如ListQz.php。然后在“頁面內容”中輸入php木馬的內容,其他項目可以隨意填寫,輸入完畢后 點擊“提交”。下面只要我們訪問:***.com/e/admin/ListQz.php這個地址,一個令人激動地webshell就會出現了。