【墨者学院】：CMS系统漏洞分析溯源(第2题)

0x00.题目描述：

背景介绍

某单位需新上线了一个系统，安全工程师“墨者”负责对系统的安全检测，确保该系统在上线后不存在安全漏洞。

实训目标

1、了解并熟练使用linux命令；

2、了解PHPCMS的后台地址及其他相关漏洞资料；

3、了解html源码的重要性。

解题方向

登录后台后执行linux系统命令，查看web源码。

0x01.解题思路：

靶场环境：可以看到使用了phpcms9.1.13版本的内容管理系统。

、

在网上可以找到，默认的后台登录地址为/admin.php，其实在robots.txt文件中也能够看到，应该养成查看robots.txt文件的习惯，里面还是有一些有用的信息的。

打开admin.php链接，发现用户和密码都是已经默认填好的，所以直接登录到后台管理里面去。

在网上看到有三种方法：第一种，使用拓展里面的木马查杀进行key文件的查找，但是我没有查到；第二种是利用远程命令执行的方法来进行目录的查看；第三种是在界面的模板里面写入一句话，再getshell。

第一种：phpcms后台低权限任意命令执行。

这个漏洞是在乌云中发布出来的，编号为WooYun-2015-0153630，具体的漏洞分析见：https://www.uedbox.com/post/15860/。

利用的POC是：index.php?0=[命令]&m=content&c=content&a=public_categorys&type=add&menuid=822;${system($_GET[0])}&pc_hash=vad6K3&from=block

先ls查看目录，再查看key.txt文件即可。

第二种：一句话木马写入。

上面的方法只是查看目录文件，并没有拿到网站的权限。写入一句话，再用蚁剑来进行连接，然后拿权限，这种方法才是比较通用的。

在界面中的index.html文件中写入一句话，然后按index.php?m=search连接。虽然网上都可，但是不知道为啥我的蚁剑返回数据为空，失败……

0x02.总结：

1.phpcms的这个后台低权限命令执行漏洞，不太清楚具体适用于哪些版本，可以先记着，这个一个渗透点。

2.一般进入了cms后台管理，通用的方法就是找模板，写入一句话，连接，上传大马。