安全矩阵

 找回密码
 立即注册
搜索
查看: 1472|回复: 0

seacms 远程命令执行 (CNVD-2020-22721)

[复制链接]

63

主题

125

帖子

457

积分

中级会员

Rank: 3Rank: 3

积分
457
发表于 2021-10-13 17:46:36 | 显示全部楼层 |阅读模式
​ seacms 远程命令执行 (CNVD-2020-22721)
描述: 海洋CMS一套程序自适应电脑、手机、平板、APP多个终端入口。 SeaCMS v10.1存在命令执行漏洞,在w1aqhp/admin_ip.php下第五行使用set参数,对用户输入没有进行任何处理,直接写入文件。攻击者可利用该漏洞执行恶意代码,获取服务器权限。 后台路径:/manager 后台密码:admin:admin
漏洞利用
打开网站


/manager找到后台


admin/admin输入密码


漏洞位置在系统的图片水印设置里面


随便提交一份图片抓包

改包


再去打开图片水印设置

ok
输入ls/temp

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 00:34 , Processed in 0.014149 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表