溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

如何進(jìn)行ClassCMS后臺(tái)getshell 復(fù)現(xiàn)

發(fā)布時(shí)間:2021-11-11 09:19:30 來源:億速云 閱讀:196 作者:柒染 欄目:網(wǎng)絡(luò)管理

如何進(jìn)行ClassCMS后臺(tái)getshell 復(fù)現(xiàn),很多新手對(duì)此不是很清楚,為了幫助大家解決這個(gè)難題,下面小編將為大家詳細(xì)講解,有這方面需求的人可以來學(xué)習(xí)下,希望你能有所收獲。

ClassCMS 簡(jiǎn)介

ClassCMS 官網(wǎng) :https://classcms.com/?

ClassCMS是一款簡(jiǎn)潔靈活的開源內(nèi)容管理系統(tǒng),可以非常方便的通過它來快速開發(fā)各種網(wǎng)站應(yīng)用。

兼容PHP5.2--PHP8.0,在APACHE、NGINX、IIS上都能使用,默認(rèn)支持MySQL SQLite兩種數(shù)據(jù)庫,支持上百萬數(shù)據(jù)量。

系統(tǒng)沒有多余的功能,整體安裝包不到1M(去掉編輯器與Layui后不到300KB),擁有完善與靈活的應(yīng)用插件機(jī)制,常用功能均可制作成應(yīng)用插件.

系統(tǒng)模板語言簡(jiǎn)單,只需要懂HTML+CSS即可制作簡(jiǎn)單的網(wǎng)站模板.

后臺(tái)頁面基于Layui制作,自適應(yīng)頁面,在手機(jī)端也有不錯(cuò)的使用體驗(yàn).

通過后臺(tái)模型,可以快速增加欄目,支持無限級(jí)欄目,欄目網(wǎng)址支持中文.

擁有各類輸入框類型,能快速擴(kuò)展文章字段,欄目變量,用戶屬性,通過應(yīng)用插件也可方便的擴(kuò)展制作各類輸入框.

后臺(tái)有完善的權(quán)限體系,可自定義每個(gè)角色的權(quán)限,,可自定義欄目與輸入框與的查看修改權(quán)限.

ClassCMS 后臺(tái)Getshell 黑盒測(cè)試復(fù)現(xiàn)

ClassCMS下載最新版本 v1.3

如何進(jìn)行ClassCMS后臺(tái)getshell 復(fù)現(xiàn)

程序下載解壓過后如下圖

如何進(jìn)行ClassCMS后臺(tái)getshell 復(fù)現(xiàn)

搭建環(huán)境并啟動(dòng)

如何進(jìn)行ClassCMS后臺(tái)getshell 復(fù)現(xiàn)

配置好配置

如何進(jìn)行ClassCMS后臺(tái)getshell 復(fù)現(xiàn)

如何進(jìn)行ClassCMS后臺(tái)getshell 復(fù)現(xiàn)

如何進(jìn)行ClassCMS后臺(tái)getshell 復(fù)現(xiàn)

如何進(jìn)行ClassCMS后臺(tái)getshell 復(fù)現(xiàn)

打開應(yīng)用管理--應(yīng)用商店

如何進(jìn)行ClassCMS后臺(tái)getshell 復(fù)現(xiàn)

隨便點(diǎn)擊某個(gè)應(yīng)用進(jìn)行下載

如何進(jìn)行ClassCMS后臺(tái)getshell 復(fù)現(xiàn)

如何進(jìn)行ClassCMS后臺(tái)getshell 復(fù)現(xiàn)

點(diǎn)擊下載時(shí)進(jìn)行抓包

如何進(jìn)行ClassCMS后臺(tái)getshell 復(fù)現(xiàn)

如何進(jìn)行ClassCMS后臺(tái)getshell 復(fù)現(xiàn)

獲取一下返回包

如何進(jìn)行ClassCMS后臺(tái)getshell 復(fù)現(xiàn)

這個(gè)時(shí)候會(huì)返回一個(gè)插件下載地址

繼續(xù)Forward

如何進(jìn)行ClassCMS后臺(tái)getshell 復(fù)現(xiàn)

POST /admin/?do=shop:downloadClass&ajax=1 HTTP/1.1Host: 192.168.253.1:8013Content-Length: 142Accept: application/json, text/javascript, */*; q=0.01X-Requested-With: XMLHttpRequestUser-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4324.104 Safari/537.36Content-Type: application/x-www-form-urlencoded; charset=UTF-8Origin: http://192.168.253.1:8013Referer: http://192.168.253.1:8013/admin/?do=shop:index&bread=304%E7%BC%93%E5%AD%98%E6%8F%92%E4%BB%B6&action=detail&classhash=cache304Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Cookie: token_43f1a9=53f68d86f94ad3c93551924e77d0e91a; csrf_43f1a9=5f5244ceConnection: closeclasshash=cache304&url=http%3A%2F%2Fclasscms.com%2Fshop%2F%3Faction%3Ddownload%26version%3D1.0%26classhash%3Dcache304%26token%3D&csrf=5f5244ce

向 /admin/?do=shop:downloadClass&ajax=1 POST 了一個(gè)插件地址和插件名稱

新建一個(gè)小馬并壓縮

如何進(jìn)行ClassCMS后臺(tái)getshell 復(fù)現(xiàn)

如何進(jìn)行ClassCMS后臺(tái)getshell 復(fù)現(xiàn)

上傳到服務(wù)器,并能夠下載的地方,也可以在網(wǎng)站處尋找文件上傳的地方

修改網(wǎng)址為壓縮包的地址如何進(jìn)行ClassCMS后臺(tái)getshell 復(fù)現(xiàn)

如何進(jìn)行ClassCMS后臺(tái)getshell 復(fù)現(xiàn)

然后訪問

http://192.168.253.1:8013/class/cache304/index.php

如何進(jìn)行ClassCMS后臺(tái)getshell 復(fù)現(xiàn)

已經(jīng)成功上傳了小馬

如何進(jìn)行ClassCMS后臺(tái)getshell 復(fù)現(xiàn)

ClassCMS 后臺(tái)Getshell 白盒測(cè)試復(fù)現(xiàn)

直接查看/class/shop/shop.php 的第82行

如何進(jìn)行ClassCMS后臺(tái)getshell 復(fù)現(xiàn)

直接調(diào)用了this:download函數(shù)

function download($url,$filepath) {$curl=curl_init();curl_setopt($curl,CURLOPT_URL,$url);if(!$fp = @fopen ($filepath,'w+')) {Return false;}curl_setopt($curl,CURLOPT_FILE, $fp);curl_setopt($curl,CURLOPT_CONNECTTIMEOUT,10);curl_setopt($curl,CURLOPT_TIMEOUT,300);curl_setopt($curl,CURLOPT_SSL_VERIFYPEER,FALSE);curl_setopt($curl,CURLOPT_SSL_VERIFYHOST,FALSE);$info=curl_exec($curl);$httpinfo=curl_getinfo($curl);curl_close($curl);fclose($fp);if($httpinfo['http_code']>=300) {@unlink($filepath);Return false;}Return $info;}}

然后再到92行

如何進(jìn)行ClassCMS后臺(tái)getshell 復(fù)現(xiàn)

if(C('cms:class:unzip',$classfile,$classdir)) {@unlink($classfile);if(C('cms:class:refresh',$classhash)) {echo(json_encode(array('msg'=>"下載完成,請(qǐng)?jiān)趹?yīng)用管理頁面中安裝此應(yīng)用")));Return ;}else {echo(json_encode(array('msg'=>"安裝包格式錯(cuò)誤,請(qǐng)重試",'error'=>1)));Return ;}}else{@unlink($classfile);echo(json_encode(array('msg'=>"安裝包解壓失敗,請(qǐng)重試",'error'=>1)));Return ;}

調(diào)用了/cms/class.php 下面的unzip方法

function unzip($src_file, $dest_dir=false, $create_zip_name_dir=true, $overwrite=true) {if(class_exists('ZipArchive')) {$zip = new ZipArchive;if ($zip->open($src_file) === TRUE){if(@$zip->extractTo($dest_dir)) {$zip->close();Return true;}$zip->close();}}elseif(function_exists('zip_open')) {if(!cms_createdir($dest_dir)) {Return false;}if ($zip = zip_open($src_file)){if ($zip){if($create_zip_name_dir){$splitter='.';}else {$splitter='/';}if ($dest_dir === false){$dest_dir = substr($src_file, 0, strrpos($src_file, $splitter))."/";}while ($zip_entry = @zip_read($zip)){$pos_last_slash = strrpos(zip_entry_name($zip_entry), "/");if ($pos_last_slash !== false){cms_createdir($dest_dir.substr(zip_entry_name($zip_entry), 0, $pos_last_slash+1));}if (zip_entry_open($zip,$zip_entry,"r")){$file_name = $dest_dir.zip_entry_name($zip_entry);if ($overwrite === true || $overwrite === false && !is_file($file_name)){$fstream = zip_entry_read($zip_entry, zip_entry_filesize($zip_entry));@file_put_contents($file_name, $fstream);}zip_entry_close($zip_entry);}}@zip_close($zip);}Return true;}}Return false;}

直接就會(huì)將下載的文件進(jìn)行解壓,從而構(gòu)成后臺(tái)getshell

看完上述內(nèi)容是否對(duì)您有幫助呢?如果還想對(duì)相關(guān)知識(shí)有進(jìn)一步的了解或閱讀更多相關(guān)文章,請(qǐng)關(guān)注億速云行業(yè)資訊頻道,感謝您對(duì)億速云的支持。

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI