BageCms是一款基于PHP5+MysqL5开发的多功能开源的网站内容管理系统。bagecmsv3.1.3版本存在任意文件编辑漏洞,该漏洞没有对输入内容做过滤处理,所以可以直接新建或编辑PHP文件,从而获取webshell。
1.实验环境: XAMPP集成环境。
BagecmsV3.1.3版本
2.后台地址; http://127.0.0.1/bagecms/upload/index.PHP?r=admini
3.漏洞位置:http://127.0.0.1/bagecms/upload/index.PHP?r=admini/default/index#4_0
4.思路
1.直接在error文件新建一个PHP文件,内容如下;<?PHP PHPinfo();?>, 结果没有找到新建文件的路径,burp抓包也没有返回路径。(应该可以修改新建文件的路径)
2.找不到文件路径,那就直接修改原有文件吧,在此页面存在install文件夹,应该是安装文件。
接下来就简单了。后台地址为http://127.0.0.1/bagecms/upload/index.PHP?r=admini,猜测修改 r=install应该会进入安装页面。
修改stop.PHP里面的代码为<?PHP PHPinfo();?>。显示出了版本信息。
3.此站可以上传附件,还可以设置运行上传的类型。emmmmmm,这个就不再操作了。
4.内容管理处可以写入HTML代码,并没有做过滤,可以获取cookie,做一些恶意链接什么的。不知道可以插入一段js代码,调用一下新建的PHP文件,以后有时间的话试一下。