CuuMall商城后台Getshell

2014-07-03T00:00:00
ID SSV:95190
Type seebug
Reporter Root
Modified 2014-07-03T00:00:00

Description

简要描述:

CuuMall商城后台Getshell 最新版本v2.3 其他版本未测试 估计也通杀 ok思密达!!!

详细说明:

CuuMall商城后台Getshell 有2种方法 第一种对表单里面的value参数没有过滤就直接显示了 还有种方法是可以利用解析漏洞 备份获取shell 下面是: -------------淫荡De分割线-------------

漏洞证明:

1

漏洞文件存在 \Runtime\~app.php 'db_type' => 'mysql', 'db_host' => 'localhost', 'db_name' => 'cuumall', 'db_user' => 'root', 'db_pwd' => '147258', 'db_port' 直接是明文保存密码 访问后台 基本设置 Runtime\Cache\Admin 目录下生成MD5 加密后台访问临时文件 并且这里的value参数里的值没有做任何处理就显示输出

<img src="https://images.seebug.org/upload/201406/28172608add390be77bbca9ad30aafb424b81eae.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">

2 利用 exp

方法1: 直接后台基本设置里面,审查元素就获取表单参数值

<img src="https://images.seebug.org/upload/201406/281729037f31b521ed0c0d65efee9e997876178a.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">

这样就可以拿到数据库账户和密码 权限大直接写shell 方法2: 程序的函数做了过滤处理 但是生产的临时文件没有过滤 后台文章管理->插入一句话->然后备份

<img src="https://images.seebug.org/upload/201406/281750091d12204d7d4c09c81389555bf7ebb52d.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">

备份这里 iis 利用数据库名前缀:test.php;.or test.php:. apache 利用数据库名前缀:test.php. 我这里是apache测试环境:

<img src="https://images.seebug.org/upload/201406/28175436e877b7a6f8d69370955e33d3dd2b2e43.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">

<img src="https://images.seebug.org/upload/201406/28175553e4e5b238b58f1fec85444338f9b19d0f.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">

生成路径:

<img src="https://images.seebug.org/upload/201406/28175640f83358e51ff549190b9bb3990bc5b705.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">

success!

<img src="https://images.seebug.org/upload/201406/28175947022d58c99798a5735a6e1612fd3b6ee7.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">