wuzhicms漏洞复现
漏洞环境搭建:
百度上面有很多,这里就不过多的讲述了
漏洞复现:
敏感信息泄露:
搭建成功后
直接后台挂个链接,这个很可以:
首先你需要进入后台,直接看到可以查看phpinfo()
两个后台sqli:
这个应该不止这两个地方
传参param给$code,然后直接拼接到sql语句中,导致sqli:
coreframe\app\promote\admin\index.php中:
获取$keywords直接拼接到sql语句中,导致sqli:
后台任意文件读取、删除:
coreframe\app\attachment\admin\index.php中存在dir方法:
分析逻辑发现,将../,./,.\,..\替换成空再添加/结尾,这里可以通过多写绕过:
index.php?dir=.......\///.......\///.......\//&m=attachment&f=index&v=dir&&_su=wuzhicms&_menuid=29&_supmenuid=52&_submenuid=52
同时发现读取到的文件是可以删除的,每个后面都有删除的链接。
找到del方法:
通过url获取路径后,检测了ATTACHMENT_URL参数,替换为空,
define('ATTACHMENT_URL','http://www.wuzhicmstest.com/uploadfile/');//附件路径
然后没有其他过滤,传入my_unlink:
达到删除的目的
逻辑漏洞:
与zzcms2021类似的利用方法
www\api\uc.php中:
通过传参可以调用uc_note类的任意方法,可以更改用户名和密码
后台rce:
coreframe\app\core\libs\function\common.func.php中set_cache方法:
写入内容没有过滤,再搜索哪里调用了set_cache:
member模型中存在调用,发现直接获取setting写入缓存
利用,写入phpinfo:
后台访问该方法: