2. 程式人生 > 實用技巧 >SeacmsV10.7版程式碼審計筆記

SeacmsV10.7版程式碼審計筆記

阿新 發佈:2021-01-11

data: 2020.11.9 10:00AM
description: seacms程式碼審計筆記

0X01前言

seacms(海洋cms)在10.1版本後臺存在多處漏洞,事實上當前最新版V10.7這些漏洞都沒有修復,網上已有10.1版本相關的分析文章,這裡就不再重複贅述。我們簡單分析下文章中未體現的幾個漏洞。

0X02分析

程式碼注入

在後臺admin_ping.php中,看下程式碼:

<?php 
header('Content-Type:text/html;charset=utf-8');
require_once(dirname(__FILE__)."/config.php");
CheckPurview();
if($action=="set")
{
	$weburl= $_POST['weburl'];
	$token = $_POST['token'];
	$open=fopen("../data/admin/ping.php","w" );
	$str='<?php  ';
	$str.='$weburl = "';
	$str.="$weburl";
	$str.='"; ';
	$str.='$token = "';
	$str.="$token";
	$str.='"; ';
	$str.=" ?>";
	fwrite($open,$str); //直接寫入,未過濾
	fclose($open);
	ShowMsg("成功儲存設定!","admin_ping.php");
	exit;
}

?>

程式碼中直接取$_POST['weburl']$_POST['token']的值寫入php檔案,我們直接傳入";phpinfo();",看下結果:

任意檔案刪除

admin_template.php第114-133行:

elseif($action=='del')
{
	if($filedir == '')
	{
		ShowMsg('未指定要刪除的檔案或檔名不合法', '-1');
		exit();
	}
	if(substr(strtolower($filedir),0,11)!=$dirTemplate){ //目錄限制,只判斷前11個字元
		ShowMsg("只允許刪除templets目錄內的檔案!","admin_template.php");
		exit;
	}
	$folder=substr($filedir,0,strrpos($filedir,'/'));
	if(!is_dir($folder)){
		ShowMsg("目錄不存在!","admin_template.php");
		exit;
	}
	unlink($filedir);
	ShowMsg("操作成功!","admin_template.php?path=".$folder);
	exit;
}

程式碼中目錄限制知判斷前11位字元,利用../繞過限制,實現任意檔案刪除。

由於成功安裝程式後,安裝檔案被更名為index.phpbak,故無法和重灌漏洞組合利用,只能造成對網站的破壞。

目錄遍歷漏洞

問題和任意檔案刪除類似:

else
{
	if(empty($path)) $path=$dirTemplate; else $path=strtolower($path);
	if(substr($path,0,11)!=$dirTemplate){ //與上面同理
		ShowMsg("只允許編輯templets目錄!","admin_template.php");
		exit;
	}
	$flist=getFolderList($path);

END

相關推薦

SeacmsV10.7程式碼審計筆記

data: 2020.11.9 10:00AM description: seacms程式碼審計筆記 0X01前言 seacms(海洋cms)在10.1版本後臺存在多處漏洞,事實上當前最新版V10.7這些漏洞都沒有修復,網上已有10.1版本相關的分析文章,這裡就不再重

JunAMS v1.2.1.20190403程式碼審計筆記

前言 CNVD-2020-24741 過程 JunAMS是以ThinkPHP為框架的開源內容管理系統,本地搭建受影響版本JunAMS v1.2.1.20190403

Beescms V4.0_R_20160525程式碼審計筆記

寫在前面 什麼是報錯注入?正常使用者訪問伺服器傳送id資訊返回正確的id資料。報錯注入是想辦法構造語句,讓錯誤資訊中可以顯示資料庫的內容;如果能讓錯誤資訊中返回資料庫中的內容,即實現SQL注入。

米酷CMS 7.0.4程式碼審計

工具:seay原始碼審計系統 原始碼:網上很好找,這裡就懶得貼上了,找不到的話可以給我留言

C語言程式設計-現代方法 第二7.3.7小節程式碼 計算訊息的長度

技術標籤:C語言程式設計-現代方法 第二c語言 第7.3.7小節程式碼 計算訊息的長度

《演算法導論》@讀書筆記@ 第八章 - 計數排序(包含js程式碼實現)

技術標籤:演算法學習演算法資料結構排序演算法javascript演算法導論 啥是計數排序

PHP程式碼審計神器——RIPS個人漢化

一、RIPS簡介 RIPS是一款PHP開發的開源的PHP程式碼審計工具,由國外的安全研究者Johannes Dahse開發,目前開源的最新版本是0.55。

java程式碼審計學習筆記

一、程式碼審計常用思路 1、介面排查(\"正向追蹤\") 2、危險方法溯源(\"逆向追蹤\")

python3.7程式碼打包成exe程式並新增圖示的方法

1、環境 1、python 3.7 2、pyinstaller 2、下載方式: 2.1 python安裝(略) 2.2 安裝pyinstaller

程式碼審計學習—zzcms儲存型xss

程式碼審計學習—zzcms儲存型xss 版本:zzcms 201910 本地搭建網站 漏洞位置: 網站/inc/function.php

electron程式碼審計

解包 Electron跨平臺程式破解https://www.52pojie.cn/thread-563895-1-1.html Electron封裝的跨平臺程式破解的一般思路:

PHP程式碼審計分段講解(9)

22 弱型別整數大小比較繞過 <?php error_reporting(0); $flag = \"flag{test}\"; $temp = $_GET[\'password\'];

PHP程式碼審計分段講解(11)

後面的題目相對於之前的題目難度稍微提升了一些,所以對每道題進行單獨的分析

PHP程式碼審計01

概述 程式碼審計是對應用程式原始碼進行系統性檢查的工作,目的是為了找到並且修復應用程式在開發階段存在的一些漏洞,或者程式邏輯錯誤。

小書MybatisPlus第7篇-程式碼生成器的原理精講及使用方法

本文是本系列文章的第七篇,前6篇訪問地址如下: 小書MybatisPlus第1篇-整合SpringBoot快速開始增刪改查

PHP程式碼審計分段講解(12)

28題 <!DOCTYPE html> <html> <head> <title>Web 350</title> <style type=\"text/css\">

《ASP.NET Core 與 RESTful API 開發實戰》-- (第7章)-- 讀書筆記(下)

7 章 高階主題 7.4 HATEOAS 全稱 Hypermedia AS The Engine Of Application State,即超媒體作為應用程式狀態引擎。它作為 REST 統一介面約束中的一個子約束,是 REST 架構中最重要、最複雜,也是構建成熟 REST 服

BUUOJ | [OGeek2019]babyrop(ROP、程式碼審計

題目連結 靜態分析 checksec 檢查,沒有什麼特別的保護機制 IDA 載入,main() 函式內容如下:

PHP程式碼審計分段講解(13)

程式碼審計分段講解之29題,程式碼如下: <?php require(\"config.php\"); $table = $_GET[\'table\']?$_GET[\'table\']:\"test\";

PHP程式碼審計分段講解(14)

30題利用提交陣列繞過邏輯 本篇部落格是PHP程式碼審計分段講解系列題解的最後一篇,對於我這個懶癌患者來說,很多事情知易行難,堅持下去,繼續學習和提高自己。