安全矩阵

 找回密码
 立即注册
搜索
查看: 856|回复: 0

某果cms后台特定情况getshell

[复制链接]

417

主题

417

帖子

2391

积分

金牌会员

Rank: 6Rank: 6

积分
2391
发表于 2023-11-12 12:54:40 | 显示全部楼层 |阅读模式
Web安全工具库 2023-11-08 00:01 发表于河南

某果cms 更新日期2023年9月11日
未授权访问暴露网站根目录
/application/data/update/database.php
/extend/qiniu/src/Qiniu/functions.php
/vendor/karsonzhang/fastadmin-addons/src/common.php
/vendor/topthink/think-captcha/src/helper.php
/vendor/topthink/think-image/tests/autoload.php
/vendor/topthink/think-image/tests/CropTest.php
/vendor/topthink/think-image/tests/FlipTest.php
/vendor/topthink/think-image/tests/InfoTest.php
/vendor/topthink/think-image/tests/RotateTest.php
/vendor/topthink/think-image/tests/TestCase.php
/vendor/topthink/think-image/tests/TextTest.php
/vendor/topthink/think-image/tests/ThumbTest.php
/vendor/topthink/think-image/tests/WaterTest.php
/vendor/topthink/think-queue/src/common.php






特定条件获取服务器权限
[size=15.008px]此处功能有被利用的风险,获取服务器权限服务器。配合上一个条件在特定情况下可以达到
[size=15.008px]

此功能似乎没起查询作用,查看源码
[size=15.008px]此处过滤了 select 所以正常语句查询被置空,导致代码显示成功,实际并没有执行,暂时不理解开发如何思考的逻辑开发这个功能



但是代码不够完善,可以利用mysql特性
[size=15.008px]注释/**/select 为开头绕过该匹配规则 ,进而执行Db::execute()
Sql注入如下
[size=15.008px]

[size=15.008px]

[size=15.008px]getShell如下
[size=15.008px]

[size=15.008px]

[size=15.008px]

[size=15.008px]

[size=15.008px]

[size=15.008px]以上getShell是满足以下条件的假设
  • 后台登录密码比较弱
  • 数据库账号权限较高



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 03:53 , Processed in 0.012812 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表