Maccms V8 后台Getshell #2(绕过过滤)

2014-05-27T00:00:00
ID SSV:94867
Type seebug
Reporter Root
Modified 2014-05-27T00:00:00

Description

简要描述:

现在 V8版本 基本全部文件都有zend加密了。 而且还有360_safe3.php保护 刚开始以为没搞头的,结果有个妹子发来微信。 妹子:在干嘛? 我:挖洞 妹子:一个人挖? 我:对啊! 妹子:我过去陪你一起挖吧! 我马上关机。擦,想跟老子抢乌云币?果断一个人作死开挖

详细说明:

注意下,这里@农村教师 WooYun: 苹果CMS全版本getshell打包第一弹 之前提交过类似的后台getshell,但是修补了。。。 不废话,直接可耻的绕过它 1. 目录浏览 maccms后台有个接口,但是限制了,只能访问目录template里的文件 http://localhost/maccms8/admin/?m=template-list-path-../template/

<img src="https://images.seebug.org/upload/201405/25145409212969b4dd38add1fb5dc09b1aaea965.jpg" alt="11.JPG" width="600" onerror="javascript:errimg(this);">

访问其他目录也被默认访问了template目录

<img src="https://images.seebug.org/upload/201405/251454251089047a6d1cf85208c6470e2307391b.jpg" alt="12.JPG" width="600" onerror="javascript:errimg(this);">

试图跳出template目录出错

<img src="https://images.seebug.org/upload/201405/251454406403a432eb49631bb59c9fe09cc39db8.jpg" alt="13.JPG" width="600" onerror="javascript:errimg(this);">

绕过姿势(这个案例之前乌云上有过) http://localhost/maccms8/admin/?m=template-list-path-../template/..\

<img src="https://images.seebug.org/upload/201405/25145451561d1968470fd8290fc4bfa1f5a5ccda.jpg" alt="14.JPG" width="600" onerror="javascript:errimg(this);">

  1. 编辑文件(不能直接新建) 与列目录类似,这里直接给出接口(乌云编辑器转义了,直接看图吧) http://localhost/maccms8/admin/?m=template-info-file-../template/..\/index.php

漏洞证明:

<img src="https://images.seebug.org/upload/201405/251456140d058be6cc6ebefd2206bcea9a32fcc4.jpg" alt="21.JPG" width="600" onerror="javascript:errimg(this);">